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1. 写作 背景 

目前 ,我国 高 等 教育 的 信息 安全 学 科 和 专业 方向 设置 问题 受到 非常 大 的 关注 。 对 于 信 
息 安 全 专业 的 本 科 生 教育 而 言 , 其 基本 的 培养 方案 .课程 设置 和 教学 大 纲 都 需要 根据 新 的 形 
势 进行 变革 ,保密 与 信息 安全 专业 方向 也 在 积极 地 进行 准备 。 

在 新 形势 下 ,对 于 信息 安全 专业 人 才 的 培养 标准 是 具有 宽厚 的 理工 基础 ,掌握 信息 科学 
和 管理 科学 专业 基础 知识 ,系统 掌握 信息 安全 与 保密 专业 知识 ,具有 良好 的 学 习 能 力 、 分 析 
与 解决 问题 能 力 ,实践 与 创新 能 力 。 特 别 是 在 能 力 方 面 ,要 求 本 专业 学 生 能 够 做 到 具有 设计 
和 开发 信息 安全 与 防范 系统 的 基本 能 力 , 具 有 获取 信息 和 运用 知识 解决 实际 问题 的 能 力 , 具 
有 良好 的 专业 实践 能 力 和 基本 的 科研 能 力 。 

实践 学 时 的 设置 不 仅 起 到 加 深 学 生理 论 课 所 学 知识 的 作用 ,还 有 助 于 培养 学 生 形 成 理 
论 与 实践 相 结合 解决 实际 问题 的 能 力 。 对 于 实现 当前 的 高 等 教育 改革 目标 ,提高 毕业 生 综 
合 素质 具有 重要 的 意义 。 但 是 , 受 实验 设备 所 限 , 各 课程 的 实验 环节 较 分 散 ,分 布 在 不 同 的 
实验 平台 或 实验 课程 中 ,缺乏 连贯 性 和 整体 性 。 网 络 安全 课程 实践 环节 的 设立 ,是 对 计算 机 
网 络 .现代 密码 学 .信息 系统 安全 、 网 络 安全 .软件 安全 和 信息 安全 管理 等 专业 核心 课程 的 有 
效 支撑 。 

本 教材 的 编写 思路 是 从 网 络 安全 的 体系 架构 中 ,确定 需要 重点 讲授 和 考核 的 内 容 ,针对 
具体 内 容 选择 最 具 代 表 性 的 实用 型 软件 工具 或 主流 技术 ,将 基础 实验 和 扩展 实验 相 结 合 , 既 
满足 日 常 的 实验 教学 活动 ,又 能 够 促进 学 生 创新 实践 能 力 的 培养 。 

2. 本 书 特点 

本 书 兼顾 高 等 学 校 理论 教 学 和 学 生 实 践 能 力 培养 的 需求 ,借鉴 国外 名 校 信息 安全 专业 
的 课程 设置 及 相关 课程 内 容 安 排 ,组 织 相 关 理 论 知识 ,设计 实验 用 例 , 力 争 理论 详尽 、 用 例 科 
学 ,指导 到 位 。 配 合 高 等 学 校 的 计算 机 网 络 、 现 代 密 码 学 、 信 息 系 统 安 全 ,网络 安全 、 软 件 安 
全 、 信 息 安 全 管理 等 课程 的 实践 教学 环节 ,突出 实用 性 ,所 有 实验 可 操作 性 强 ,与 实践 结合 紧 
密 。 本 书 不 仅 介 绍 网 络 安全 的 核心 理论 和 主要 技术 ,更 着 重 介绍 在 网 络 安全 管理 和 实践 过 
程 中 如 何 运 用 系统 软件 支撑 和 维护 网 络 健康 运行 。 

本 书 可 作为 信息 安全 专业 及 相关 专业 “计算 机 网 络 ” “现代 密码 学 ”“ 信 息 系 统 安全 ”、 
“网 络 安全 ”、“ 信 息 安全 管理 ”等 课程 的 实践 教材 , 书 中 的 全 部 实验 示例 都 经 过 精心 的 设计 
和 完全 的 调试 ,可 以 放心 使 用 。 

3. 内 容 安排 

本 书 的 内 容 安 排 如 下 : 

名 第 1 章 介 绍 网 络 安全 的 基本 概念 和 发 展 历程 ,以 及 网 络 安全 与 信息 安全 的 密切 联系 。 

并 介绍 网 络 安全 实验 的 特点 和 基本 要 求 。 
名 第 2 章 介 绍 网 络 安全 的 研究 意义 和 研究 内 容 , 主 要 包括 密码 学 、 防 火 墙 技 术 、 网 络 入 
侵 检测 数据 备份 与 容 灾 、 防 病毒 技术 ,并 介绍 网 络 管理 规范 。 


名 第 3 章 介绍 网 络 分 析 实 验 的 原理 和 技术 ,重点 介绍 基于 Sniffer Pro 嗅 探 软件 的 数据 
包 捕 获 、 网 络 监视 等 功能 ,并 增加 对 多 种 网 络 协议 进行 嗅 探 分 析 的 扩展 实验 环节 。 

名 第 4 章 介绍 远程 控制 软件 pcAnywhere 的 安装 和 使 用 方法 ,讲解 主 控 端 .被 控 端 的 配 
置 方法 ,并 介绍 远程 文件 控制 的 操作 方式 。 

名 第 5 章 介 绍 SSL-VPN 概念 ,以 及 VPN 服务 配置 与 使 用 的 操作 方法 。 

名 第 6 章 介绍 防火 墙 技 术 ,并 结合 天 网 防火 墙 和 瑞星 防火 墙 讲述 防火 墙 的 使 用 及 配置 
方法 。 

名 第 7 章 介 绍 人 侵 检 测 技术 ,重点 讲述 Snort 入 侵 检 测 工具 的 使 用 方法 。 

名 第 8 章 讨论 虚拟 蜜 网 系统 的 实用 性 意义 ,介绍 虚拟 蜜 网 的 搭建 与 攻击 分 析 方 法 。 

名 第 9 章 介 绍 操作 系统 安全 的 相关 技术 ,包括 Windows 和 Linux 两 个 主流 的 操作 

名 第 10 章 介绍 口令 破解 和 安全 加 密 的 主要 工具 和 使 用 方法 。 

名 第 11 章 介绍 图 像 信息 隐藏 和 提取 的 基本 原理 、 分 类 方法 和 工具 。 

名 第 12 章 介绍 木马 植 人 与 防范 ,包括 木马 传播 和 和 运行 机 制 以 及 防御 木马 的 相关 知识 。 
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第 1 a 网 络 安全 实验 概述 


1.1 5| 论 


1.1.1 网 络 安 全 现状 及 发 展 


网 络 安全 是 指 网 络 系统 的 软件 .硬件 及 其 存储 的 数据 处 于 受 保护 状态 ,网络 系统 不 会 由 
于 偶然 的 或 者 恶意 的 冲击 而 受到 破坏 ,网 络 系统 能 够 连续 可 靠 地 运行 。 网 络 安全 是 一 门 涉 
及 计算 机 科学 、 网 络 技术 .通信 技术 .密码 技术 ,信息 安 全 技术 .应 用 数学 和 信息 论 等 多 个 研 
究 领 域 的 综合 性 学 科 。 概 括 地 说 ,凡是 涉及 网 络 系统 的 保密 性 完整 性 .可 用 性 .可 控 性 的 相 
关 技 术 和 理论 都 是 网 络 安全 的 研究 内 容 。 


1.1.1.1 网 络 安全 问题 


随 着 计算 机 技术 和 互联 网 技术 的 飞速 发 展 ,数字 化 信息 已 经 成 为 社会 发 展 的 重要 保证 。 
例如 ,数字 化 城市 .数字 化 国防 的 建设 都 需要 大 量 网 络 信息 支持 。 快 速 发 展 的 各 类 网 络 将 这 
些 数字 信息 紧密 地 联系 在 一 起 ,与 之 相伴 的 是 随时 可 能 发 生 的 各 类 安全 问题 。 

* 人 为 安全 问题 : 信息 泄漏 ,信息 窃取 数据 算 改 、 计 算 机 病毒 。 

。 设备 安全 问题 : 自然 灾害 .设计 缺陷 .电磁 辐射 。 

2011 年 3 月 ,国家 计算 机 网 络 应 急 处 理 协 调 中 心 发 布 了 《2010 年 中 国 网 民 网 络 信息 安 
全 状况 调查 报告 》, 对 我 国 目前 的 网 络 安全 状况 进行 了 总 体 分 析 ,概括 为 以 下 几 点 : 
国内 半数 网 民 无 法 区 分 各 类 安全 软件 的 异同 。 

2010 年 ,半数 网 民 曾 遭遇 网 络 安全 事件 ,网络 下 载 和 浏览 成 为 病毒 和 木马 传播 的 主 
要 渠道 。 

网 络 安全 问题 给 网 民 造 成 的 损失 主要 是 时 间 成 本 ,其 次 才 是 经 济 方面 的 损失 。 

2010 年 ,网 民 处 理 安 全 事件 所 支出 的 服务 费用 共计 207 亿 元 人 民 币 。 

网 络 安全 事件 造成 的 虚拟 财产 损失 成 为 网 络 安全 事件 的 主要 经 济 损失 之 一 ,虚拟 财 
Pe RAP vi FF GER o 

2010 年 网 络 安全 事件 受 关注 度 比 以 往 大 幅 提升 。 

网 民 对 网 络 的 安全 感 降低 ,提供 网 上 个 人 信息 比 以 往 更 加 慎重 。 

近 2100 万 网 民 缺 乏 密码 设置 方面 的 保护 意识 。 

99% 的 网 民 对 于 个 人 计算 机 均 采 取 一 定 的 防范 措施 。 

。 近 七 成 网 民 能 够 意识 到 个 人 网 络 安全 问题 会 波及 公共 网 络 及 他 人 的 安全 。 

随 着 互联 网 的 发 展 , 各 种 安全 问题 层出不穷 ,互联 网 上 草 延 和 传播 的 恶意 程序 呈 几 何 数 
量 递增 。 国 家 计算 机 网 络 应 急 处 理 协调 中 心 的 调查 结果 显示 ,2009 年 ,52%% 的 网 民 曾 遭遇 
过 网 络 安全 事件 。 遭 遇 过 网 络 安全 事件 的 网 民 一 般 是 通过 很 直观 的 方式 来 判断 遭受 攻击 
的 ,通常 是 在 使 用 计算 机 的 过 程 中 发 现 异常 。71.9% 的 网 民 发 现 浏 览 器 配置 被 修改 ,50.1% 

. ] œ 


的 网 民 发 现 网 络 系统 无 法 使 用 ,45% 的 网 民 发 现 数 据 、 文 件 被 损坏 ,41.5% 的 网 民 发 现 操 作 
ASW ,而 发 现 QQ、MSN 密码 、 邮 箱 账 号 曾经 被 盗 的 网 民 占 32. 3%( 见 图 1.1.1)。 
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数据 来 源 : CNNIC 和 CNCERT 网 络 在 线 调查 (2009 年 12 月 ) 
[Base=25472] 
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对 网 民用 于 处 理 网 络 安全 事件 支出 的 费用 ,国家 计算 机 网 络 应 急 处 理 协调 中 心 进 行 统 
计 显 示 :2010 年 ,网 民 处 理 安全 事件 所 支出 的 服务 费用 共计 153 亿 元 人 民 币 ;在 实际 产生 费 
用 的 人 群 中 ,人 均 费 用 约 588. 9 元 ;费用 在 100 元 及 以 下 的 占 51. 2% ;如 按 国内 3. 84 亿 网 
民 计 算 , 人 均 处 理 网 络 安全 事故 费用 约 为 39.9 元 ( 见 图 1. 1.2)。 
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数据 来 源 : CNNIC 和 CNCERT 网 络 在 线 调查 (20094512 H ) 
[Base=25472] 


图 112 网 络 安全 事件 带 来 的 直接 经 济 损失 情况 


中 国 的 网 络 安全 技术 在 近 几 年 得 到 快速 的 发 展 , 这 一 方面 得 益 于 从 中 央 到 地 方 政府 的 
广泛 重视 ; 另 一 方面 是 因为 网 络 安全 问题 日 益 突 出 ,网 络 安全 企业 不 断 研发 最 新 安全 技术 ， 
不 断 推出 满足 用 户 需 求 .具有 时 代 特 色 的 安全 产品 ,促进 了 网 络 安全 技术 的 发 展 。 


1.1.1.2 网 络 安全 技术 
网 络 安全 技术 主要 包括 防火 墙 技术 .入 侵 检 测 技术 以 及 防 病毒 技术 。 这 3 种 网 络 安全 


* 2. 


技术 还 是 针对 数据 .单一 系统 以 及 软 硬 件 本 身 的 安全 保障 。 

首先 ,从 用 户 角 度 来 看 ,虽然 安装 了 防火 墙 ,但 是 仍 避 免不了 蠕虫 .垃圾 邮件 、 病 毒 以 及 
拒绝 服务 攻击 等 网 络 危 害 事 件 的 发 生 。 

其 次 ,入 侵 检测 产品 在 提前 预警 方面 存在 不 足 , 对 于 危害 程序 和 代码 的 精确 定位 以 及 系 
统 全 局 管理 能 力 还 有 很 大 的 提升 空间 。 

最 后 ,虽然 很 多 用 户 在 系统 终端 上 都 安装 了 防 病毒 产品 ,但 是 内 网 安全 问题 仍然 突出 ， 
尤其 是 安全 策略 的 执行 .外 来 非法 侵入 、 补 丁 管理 以 及 操作 行为 规范 制定 等 方面 。 

目前 来 看 ,网 络 安全 的 防护 重点 将 集中 在 信息 语义 范畴 和 网 络 行为 。 


1.1.1.3. 网 络 安全 发 展 趋势 


在 网 络 混合 攻击 时 代 , 功 能 单一 的 防火 墙 系统 无 法 满足 业务 的 需要 ,防护 墙 技术 必 须 具 
备 多 种 安全 功能 ,如 基于 应 用 协议 层 防御 、 低 误 报 率 检 测 .高 可 靠 高 性 能 平台 和 统一 组 件 化 
管理 技术 等 ,由 此 ,UTM(Unified Threat Management, 统 一 威胁 管理 ) 技 术 应 运 而 生 。 

UTM 在 统一 的 产品 管理 平台 下 , 集 防火 墙 \VPN、 网 关 防 病毒 、IPS 和 防 拒 绝 服 务 攻 击 
等 众多 产品 功能 于 一 体 , 实 现 了 多 种 防御 功能 ,向 UTM 方向 演进 将 是 防火 墙 的 发 展 趋势 。 

UTM 设备 应 具备 以 下 特点 。 

(1) 网 络 安全 协议 层 防御 。 主 要 针对 IP 地 址 、 端 口 等 静态 信息 进行 防护 和 控制 ,除了 
传统 的 访问 控制 外 ,还 需 对 垃圾 邮件 .拒绝 服务 和 黑客 攻击 等 外 部 威胁 进行 综合 检测 和 主动 
防御 。 

(2) 通过 分 类 检测 技术 降低 误 报 率 。 串 联接 人 的 网 关 设 备 一 旦 误 报 率 过 高 ,将 会 严重 
影响 系统 的 正常 服务 ,给 用 户 带 来 灾难 性 的 后 果 。IPS 理念 在 20 世纪 90 年 代 就 被 提出 ,但 
是 目前 IPS 部 署 非常 有 限 ,影响 其 部 署 的 一 个 重要 问题 就 是 误 报 率 过 高 。 分 类 检测 技术 可 
以 大 幅度 降低 误 报 率 , 针 对 不 同 的 攻击 类 型 ,采取 不 同 的 检测 技术 ,比如 防御 拒绝 服务 攻击 、 
防 蠕虫 和 黑客 攻击 、 防 垃圾 邮件 攻击 等 ,从 而 显著 降低 误 报 率 。 

(3) 高 可 靠 性 .高 性 能 的 硬件 支撑 平台 。 

(4) 一 体 化 管理 。UTM 设备 具有 能 够 统一 控制 和 管理 的 平台 ,使 用 户 能 够 有 效 地 管 
理 。 设 备 平台 可 以 实现 标准 化 并 具有 可 扩展 性 ,用 户 可 在 统一 的 平台 上 进行 组 件 管理 , 同 
时 ,一 体 化 管理 也 能 消除 信息 产品 之 间 由 于 无 法 沟通 而 带 来 的 信息 孤岛 ,从 而 在 应 对 各 种 各 
样 攻击 威胁 的 时 候 , 更 好 地 保障 用 户 的 网 络 安全 。 


1.1.1.4 网 络 威胁 趋势 分 析 


在 信息 网 络 普及 的 时 代 , 信 息 安 全 威胁 随时 存在 , 且 不 断 增加 ,信息 网 络 安全 性 正 逐 步 
得 到 人 们 的 重视 。 在 当前 复杂 的 网 络 应 用 环境 下 ,信息 网 络 所 面临 的 安全 形势 异常 严峻 。 
来 自 中 国电 子 商 务 研究 中 心 的 报告 列举 了 如 下 严重 的 网 络 威胁 。 

COD 垃圾 邮件 和 网 络 欺骗 。 

社交 网 站 成 为 网 络 安全 的 重 灾区 。2010 年 ,Koobface 蠕虫 等 安全 问题 对 社交 网 站 用 户 
形成 巨大 威胁 。 从 这 些 软件 的 攻击 过 程 来 看 , 正 逐 步 由 攻击 系统 .窃取 资料 的 被 动 方式 转变 
为 主动 攻击 模式 。 安 全 专家 认为 ,恶意 软件 作者 正在 拓展 攻击 范围 ,把 恶意 软件 植 人 到 社交 
网 站 应 用 层 内 部 ,攻击 者 可 以 毫 无 限制 地 窃取 用 户 的 资料 和 登录 密码 。 


思科 公司 在 其 2009 年 《年度 安 全 报告 ) 中 揭示 了 社交 媒体 (尤其 是 社交 网 络 ) 对 网 络 安 
全 的 影响 ,并 探讨 了 个 体 本 身 在 为 网 络 犯 罪 创 造 机 会 方面 所 起 的 关键 作用 。 社 交 网 络 已 经 
成 为 网 络 犯 罪 的 导 火 索 ,网 站 成 员 过 于 信任 社区 伙伴 ,根本 没有 采取 任何 阻止 恶意 软件 和 计 
算 机 病毒 的 预防 措施 。 这 些 不 良 用 户 行为 以 及 系统 、 操 作 漏 洞 结合 在 一 起 会 具有 不 可 估量 
的 破坏 性 ,将 大 幅 增 加 网 络 安 全 风险 。 

(2) 云 计 算 为 网 络 犯罪 提供 了 新 的 技术 。 

云 计 算 在 2009 年 取得 了 长 足 的 发 展 , 但 应 该 清醒 地 认识 到 :市 场 的 快速 发 展会 牺牲 一 
定 的 安全 性 ,攻击 者 今后 将 把 更 多 的 时 间 用 于 挖掘 云 计算 服务 提供 商 的 API( 应 用 编程 接 
口 ) 漏 洞 方面 。 

随 着 越 来 越 多 的 IT 功能 通过 云 计 算 来 提供 ,网 络 犯罪 也 顺应 了 这 一 趋势 。 网 络 攻击 
者 和 黑客 也 将 效仿 企业 做 法 使 用 基于 云 计算 的 工具 ,以 便 更 有 效率 地 部 署 远程 攻击 ,甚至 借 
此 大 幅 拓 展 攻击 范围 。 

对 于 云 计 算 将 被 黑客 所 利用 这 个 严峻 的 问题 ,各 大 安全 公司 都 把 精力 放 在 与 云 计算 相 
关 的 安全 服务 上 ,提供 加 密 、 目 录 管 理 . 反 垃圾 邮件 、 恶 意 程 序 扫 描 等 各 类 解决 方案 。 据 悉 ， 
著名 安全 评测 机 构 VB100 号 召 安全 行业 联合 起 来 ,组 成 一 个 对 抗 恶意 程序 的 共同 体 , 分享 
技术 和 资源 。 

(3) 智能 手机 安全 问题 愈 发 严重 。 

随 着 移动 应 用 的 不 断 增多 ,智能 设备 的 受 攻击 范围 也 在 不 断 扩 大 ,移动 安全 所 面临 的 问 
题 将 会 越 来 越 严 重 。 目 前 已 经 出 现 了 手机 蠕虫 病毒 和 智能 手机 盗号 木马 ,虽然 这 些 病毒 还 
不 能 自我 传播 ,还 需要 依靠 计算 机 来 传播 ,但 是 可 以 预计 ,具有 自我 传播 能 力 的 病毒 势必 出 
现 , 将 严重 威胁 各 类 移动 终端 设备 。 

总 体 而 言 ,安全 专家 认为 , 随 着 智能 手机 业务 范围 的 拓展 ,用 户 利用 手机 来 处 理 银行 交 
By .社交 网 站 和 其 他 业务 ,黑客 将 越 来 越 关注 这 一 攻击 领域 。 

(4) 搜索 引擎 成 为 黑客 全 新 的 赢利 方式 。 

黑客 不 断 寻 找 新 的 方法 借助 钓鱼 网 站 吸引 用 户 , 利 用 搜索 引擎 优化 技术 展开 攻击 便 是 
其 中 的 一 种 方法 。 谷 歌 和 必 应 (Bing) 对 实时 搜索 的 支持 也 将 吸引 黑客 进一步 提升 相关 技 
术 。 作 为 一 种 攻击 渠道 ,搜索 引擎 是 非常 理想 的 选择 ,因为 用 户 通 常 都 非常 信任 搜索 引擎 ， 
对 于 排 在 前 几 位 的 搜索 结果 更 是 没有 任何 怀疑 ,这 就 给 了 黑客 可 乘 之 机 ,从 而 对 用 户 发 动 
攻击 。 

(5)“ 僵 尸 网 络 ? 继 续 猩 铬 。 

所 谓 僵尸 ,是 指 受 恶意 软件 感染 而 被 犯罪 分 子 远程 操控 的 个 人 计算 机 。 犯 罪 分 子 通 过 
网 络 将 病毒 植 和 成 千 上 万 台 个 人 计算 机 ,实现 大 范围 的 操控 ,犯罪 分 子 使 用 这 些 计算 机 进行 
各 种 网 络 犯罪 ,如 垃圾 邮件 发 送 . 服 务 阻 断 攻击 .网络 钓 鱼 及 非法 主机 攻击 等 ,基本 覆盖 了 所 
有 网 络 犯 罪行 为 。 从 当前 的 网 络 安 全 态势 来 看 , 愈 来 愈 多 的 计算 机 和 皆 受 到 感染 ,而 被 感染 的 
时 间 也 愈 来 愈 长 了 。 

(6) 传统 攻击 方式 再 度 兴 

IBM X-Force 团队 预计 ,大 规模 蠕虫 攻击 将 再 度 兴起 ,与 此 同时 ,DDoS( 分 布 式 拒绝 服 
务 攻击 ) 也 将 重新 成 为 主流 攻击 方式 ,木马 仍 将 占据 主要 地 位 。 
来 自 中 国电 子 商 务 研究 中 心 的 报告 显示 , 据 Websense 的 卢 纳 德 预 计 ,电子 邮件 攻击 也 
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有 重新 抬头 之 势 。 研 究 人 员 已 经 发 现 ,通过 PDF 等 邮件 附件 发 动 的 攻击 开始 增加 。 他 说 : 
“恶意 邮件 攻击 在 2005 年 至 2008 年 期 间 已 经 销声匿迹 。 而 现在 不 知 出 于 何 种 原因 ,这 种 攻 
击 方式 又 再 度 出 现 。” 

从 网 络 威胁 方式 来 看 ,威胁 方式 的 演进 主要 体现 在 如 下 几 个 方面 。 

(1) 实施 网 络 攻击 的 主体 发 生 了 变化 。 

实施 网 络 攻击 的 主要 人 群 正 由 好 奇 心 重 ,炫耀 攻防 能 力 的 兴趣 型 黑客 群 , 向 更 具 犯 罪 思 
想 的 赢利 型 攻击 人 群 过 渡 , 针 对 终端 系统 漏洞 实施 “zero-day 攻击 ”和 利用 网 络 攻击 获取 经 
济 利益 逐步 成 为 主要 趋势 。 其 中 以 僵尸 网 络 .间谍 软件 为 手段 的 恶意 代码 攻击 ,以 融 诈 勒索 
为 目的 的 分 布 式 拒绝 服务 攻击 ,以 网 络 仿冒 、 网 址 嫁接 、 网 络 动 持 等 方式 进行 的 在 线 身份 究 
取 等 安全 事件 持续 快速 增加 ,而 针对 P2P、IM 等 新 型 网 络 应 用 的 安全 攻击 也 在 迅速 发 展 。 
近期 以 "熊猫 烧香 "“ 灰 角子 ?事件 为 代表 形成 的 黑色 产业 链 , 也 凸显 了 解决 信息 安全 问题 的 

(2) 企业 对 安全 威胁 的 认识 发 生 了 变化 。 

过 去 ,企业 信息 网 络 安全 的 防护 中 心 一 直 定位 于 网 络 边 界 及 核心 数据 区 ,通过 部 署 各 种 
各 样 的 安全 设备 实现 安全 保障 。 但 随 着 企业 信息 边界 安全 体系 的 基本 完善 ,信息 安全 事件 
仍然 层出不穷 。 企 业内 部 人 员 安 全 管理 不 足 、 办 公 时 间 肆 意 上 网 、 计 算 机 使 用 不 当 等 行为 都 
使 网 络 信息 安全 风险 变 得 更 为 严重 。 

(3) 安全 攻击 的 主要 手段 发 生 了 变化 。 

安全 攻击 的 手段 多 种 多 样 ,典型 的 手段 包含 拒绝 服务 攻击 、 非 法 接 入 、IP 欺骗 .网 络 嗅 
探 \ 木 马 攻 击 以 及 垃圾 邮件 等 方式 。 随 着 攻击 技术 的 发 展 ,攻击 手段 正 由 单一 攻击 模式 向 多 
种 攻击 手段 结合 的 复合 性 攻击 发 展 。 结 合 多 种 攻击 手段 的 复合 模式 所 带 来 的 危害 远 远 大 于 
单一 模式 的 攻击 , 且 更 加 难以 控制 。 


1.1.2 黑客 及 黑客 入 侵 技术 


1.1.2.1 黑客 定义 


黑客 是 计算 机 专业 中 的 一 群 特殊 的 群体 , 随 着 计算 机 系统 被 攻击 报道 的 逐渐 增多 ,黑客 
越发 成 为 业界 的 关注 焦点 。 黑 客 是 英文 hacker 一 词 的 音译 ,是 指 计算 机 系统 的 非法 入 侵 
者 。 有 “恶作剧 ”的 意思 , 尤 指 那些 手法 巧妙 ,技术 高 明 的 恶作剧 。 

在 早期 麻 省 理工 学 院 的 校园 但 语 中 “黑客 "有 ”恶作剧 ?之 意 , 尤 指 手法 巧妙 、 技 术 高 明 
的 恶作剧 ;在 日 本 (新 黑客 词典 》 中 ,黑客 的 定义 是 "喜欢 探索 软件 程序 奥秘 ,并 从 中 增长 了 个 
人 才干 的 人 ”。 目 前 ,黑客 的 准确 界定 为 "以 保护 网 络 为 目的 ,具有 硬 软件 高 级 知识 ,有 能 力 
通过 创新 的 方法 剖析 系统 的 技术 精英 ,他 们 以 侵入 为 手段 找 出 网 络 漏洞 ,进而 令 互 联网 络 趋 
于 完善 和 安全 。 ”一般 认 为 ,黑客 起 源 于 20 世纪 50 年 代 麻 省 理工 学 院 的 实验 室 , 他 们 热衷 于 
解决 难题 。 

20 世纪 60 ERE 70 年 代 ,“ 黑 客 ” 富 于 讲义 , 专 指 那 些 独立 思考 、 奉 公 守 法 的 计算 机 爱 
好 者 ,这 些 人 智力 超群 ,对 计算 机 技术 全 身心 投入 ,在 他 们 看 来 ,黑客 活动 意味 着 对 计算 机 的 
最 大 潜力 进行 智力 上 的 自由 探索 ,为 计算 机 技术 的 发 展 做 出 巨大 贡献 。 正 是 这 些 黑客 ,倡导 
了 一 场 个 人 计算 机 革命 ,倡导 了 现行 的 计算 机 开放 式 体系 结构 。 现 在 黑客 使 用 的 入 侵 计算 机 
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系统 的 基本 技巧 ,如 破解 口令 (password cracking), FR H (trapdoor) .走后门 (backdoor)、 
安放 特洛伊 木马 (Trojan horse) 等 ,都 是 在 这 一 时 期 发 明 的 。 从 事 黑 客 活动 的 经 历 , 成 为 后 
来 许多 计算 机 业 巨 子 简 历 上 不 可 或 缺 的 一 部 分 。 例 如 ,苹果 公司 创始 人 之 一 乔布斯 就 是 一 
个 典型 的 例子 。 

到 了 20 世纪 80 年 代 至 90 年 代 , 计 算 机 越 来 越 重要 ,大 型 数据 库 也 越 来 越 多 ,信息 越 来 
越 集中 在 少数 人 的 手 里 。 黑 客 认 为 ,信息 应 共享 而 不 应 被 少数 人 所 垄断 ,于 是 将 注意 力 转移 
到 涉及 各 种 机 密 的 信息 数据 库 上 。 而 这 时 ,计算 机 化 空间 已 私有 化 ,成 为 个 人 拥有 的 财产 ， 
社会 不 能 再 对 黑客 行为 放任 不 管 ,而 必须 采取 行动 ,利用 法 律 等 手段 来 进行 控制 。 黑 客 活动 
受到 了 打击 。 目 前 ,许多 政府 机 构 已 经 邀请 黑客 为 他 们 检验 系统 的 安全 性 ,甚至 还 请 他 们 设 
计 新 的 安保 规程 。 

与 黑客 相对 的 是 骇 客 , 骇 客 是 cracker 的 音译 ,就 是 “破坏 者 ”的 意思 。 骇 客 是 贬义 的 ， 


网 络 ,他 们 具备 广泛 的 计算 机 知识 ,但 与 黑客 不 同 的 是 他 们 以 破坏 为 目的 。 

黑客 和 骇 客 的 基本 差异 在 于 ,黑客 是 有 建设 性 的 ,而 骇 客 则 专门 搞 破坏 。 对 一 个 黑客 来 
说 ,学 会 人 侵 和 破解 是 必要 的 ,但 最 主要 的 还 是 编程 。 对 于 一 个 骇 客 来 说 ,他 们 只 追求 人 侵 
的 快感 ,不 在 乎 技术 ,他 们 不 会 编程 ,不 知道 入 侵 的 具体 细节 。 还 有 一 种 情况 是 试图 破解 某 
系统 或 网 络 以 提醒 该 系统 所 有 者 注意 到 系统 安全 漏洞 ,这 群 人 往往 被 称 作 “ 白 由 黑客 ”“ 匿 
名 客 ”(sneaker) 或 “ 红 客 ”。 许 多 这 样 的 人 是 计算 机 安全 公司 的 雇员 ,并 在 完全 合法 的 情况 
下 攻击 某 系 统 。 


1.1.2.2 黑客 活动 


黑客 的 主要 活动 内 容 包括 以 下 几 个 方面 : 

(1) 作为 一 个 黑客 ,在 找到 系统 漏洞 并 侵入 的 时 候 , 往 往 会 很 小 心地 避免 造成 损失 ,并 
且 善意 地 提醒 系统 管理 员 ,但 是 在 这 个 过 程 中 有 许多 因素 是 未 知 的 ,没有 人 能 确定 最 终 会 是 
什么 结果 ,因此 一 个 好 的 黑客 不 会 随便 攻击 个 人 用 户 及 站 点 。 

(2) 编写 一 些 有 用 的 开源 软件 ,这 些 软件 都 是 免费 的 ` 公 开 的 。 

(3) 帮助 别 的 黑客 测试 和 调试 软件 。 

(4) 黑客 们 都 以 探索 漏洞 与 编写 程序 为 乐 ,在 黑客 的 圈子 里 ,有 许多 其 他 事情 可 做 ,如 
维护 和 管理 相关 的 黑客 论坛 ,新闻 组 以 及 邮件 列表 ,维持 大 的 软件 供应 站 点 ,推动 RFC 和 其 
他 技术 标准 ,等 等 。 

(5) 真正 的 黑客 不 会 随意 破解 商业 软件 并 将 其 广泛 流传 ,也 不 会 恶意 侵入 别人 的 网 站 
并 造成 损失 ,黑客 的 所 作 所 为 应 当 更 像 是 对 于 网 络 安全 的 监督 。 


1.1.2.3 黑客 事件 


历史 上 ,发 生 过 许多 著名 的 黑客 人 侵 事 件 。 
1979 年 ,年 仅 15 岁 的 凯 文 . 米 特 尼克 仅 凭 一 台 计 算 机 和 一 部 调制 解 调 器 奖 入 了 北美 
空中 防务 指挥 部 的 计算 机 主机 。 
1987 年 , 美 联 邦 执法 部 门 指控 16 岁 的 赫 尔 伯 特 。 齐 恩 冯 和 美国 电话 电报 公司 的 内 部 
网 络 和 中 心 交换 系统 。 齐 恩 是 美国 1986 年 “计算 机 欺诈 与 滥用 法 案 ” 生 效 后 被 判 有 罪 的 第 
Te 
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1988 年 ,年 仅 23 岁 的 大 学 生 Robert Morris 在 因特网 上 释放 了 世界 上 首 个 “蠕虫 > 程 
FF. Robert Morris 最 初 是 把 这 个 99 行 的 程序 放 在 互联 网 上 进行 试验 ,可 结果 却 使 得 他 的 
计算 机 被 感染 并 迅速 在 互联 网 上 草 延 开 。Robert Morris 也 因此 在 1990 年 被 判 人 狱 。 

1990 年 ,为 了 获得 在 洛杉矶 地 区 kiis-fm 电台 第 102 个 呼 人 者 的 奖励 一 一 保时捷 跑车 ， 
Kevin Poulsen 控制 了 整个 地 区 的 电话 系统 ,以 确保 他 是 第 102 个 呼 入 者 。 最 终 , 他 如 愿 以 
偿 获 得 跑车 并 为 此 和 人 狱 三 年 。 

1995 年 ,来 自 俄罗斯 的 黑客 Vladimir Levin 成 为 历史 上 第 一 个 通过 入 侵 银 行 计算 机 系 
统 来 获 利 的 黑客 ,他 侵入 美国 花旗 银行 的 计算 机 系统 并 盗 走 1000 万 美元 。 

1996 年 ,美国 黑客 Timothy Lloyd 曾 将 一 个 6 行 的 恶意 软件 放 在 了 其 雇主 一 一 Omega 
工程 公司 (美国 航天 航空 局 和 美国 海军 最 大 的 供 货 商 ) 的 网 络 上 ,此 事件 导致 Omega 公司 损 
失 1000 万 美元 。 

1999 年 ,Melissa 病毒 是 世界 上 首 个 具有 全 球 破坏 力 的 病毒 。David Smith 在 编写 此 病 
毒 的 时 候 年 仅 30 岁 。Melissa 病毒 使 世界 上 300 多 家 公司 的 计算 机 系统 骨 溃 。 整 个 病毒 造 
成 的 损失 接近 4 亿美 元 。David Smith 随后 被 判处 5 年 有 期 徒刑 。 

2000 年 ,年 仅 15 岁 的 MafiaBoy( 由 于 年 龄 太 小 ,因此 没有 公布 其 真实 身份 ) 在 情人 节 期 
间 成 功 侵入 包括 eBay, Amazon 和 Yahoo 在 内 的 大 型 网 站 服务 器 ,并 成 功 阻止 了 服务 器 向 
用 户 提供 服务 。 他 于 2000 年 被 捕 。 

2002 年 11 H ,伦敦 人 Gary McKinnon 在 英国 被 指控 非法 侵入 美国 军 方 90 多 个 计算 机 

1994 年 4 月 20 日 ,中 国 NCFC 工程 通过 美国 Sprint 公司 连 入 因特网 的 64K 国际 专线 
开通 ,实现 了 与 因特网 的 全 功能 连接 ,中 国 成 为 直接 接 人 因特网 的 国家 。 从 此 ,中 国 黑客 开 
始 了 原始 萌动 。 同 年 ,中 国 第 一 部 信息 安全 法 规 ( 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 
条 例 ) 颁 布 实施 。1997 年 《中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 ) 颁 布 

1998 ^F. 6 H 16 日 ,上 海 某 信息 网 的 工作 人 员 在 例 行 检查 时 ,发 现 网 络 遭 到 不 速 之 客 的 
2. 7 H 13 日 ,犯罪 嫌疑 人 杨 某 被 逮捕 。 这 是 我 国 第 一 例 计算 机 黑客 事件 。 

1999 年 ,中 国 黑客 发 展 的 历史 上 产生 了 一 个 高 峰 。 这 一 年 网 络 泡沫 高 度 泛滥 ,黑客 在 
这 个 浪潮 中 不 可 避免 地 泛 起 了 泡沫 。 从 1999 年 到 2000 年 ,中国 黑 客 联盟 .中国 鹰 派 和 中 国 
红 客 联盟 等 一 大 批 黑客 网 站 兴起 , 带 来 了 黑客 普及 教育 。 


1.1.2.4 黑客 人 侵 技 术 


黑客 和 人 侵 一 般 分 为 信息 收集 .探测 分 析 系统 安全 弱点 以 及 实施 攻击 3 个 步骤 。 
信息 收集 是 为 了 了 解 所 要 攻击 的 目标 的 详细 信息 ,通常 黑客 会 利用 相关 的 网 络 协议 或 
实用 程序 来 收集 信息 ,常用 的 工具 如 下 。 
。 SNMP 协议 :用 来 查阅 网 络 系统 路 由 器 的 路 由 表 , 从 而 了 解 目 标 主 机 所 在 网 络 的 拓 
扑 结构 及 其 内 部 细节 。 
。 TraceRoute 程序 : 用 该 程序 能 够 获得 到 达 目 标 主机 所 要 经 过 的 网 络 数 和 路 由 器 数 。 
* Whois 协议 : 该 协议 的 服务 信息 能 提供 所 有 有 关 的 DNS 域 和 相关 的 管理 参数 。 
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* DNS 服务 器 : 该 服务 器 提供 了 系统 中 可 访问 的 主机 的 IP 地 址 表 和 它们 所 对 应 的 主 
机 名 。 

* Finger 协议 : 可 以 用 来 获取 一 个 指定 主机 上 的 所 有 用 户 的 详细 信息 。 

。 Ping 实用 程序 : 可 以 用 来 确定 一 个 指定 主机 的 位 置 。 

当 收 集 到 目标 的 相关 信息 以 后 ,黑客 会 利用 探测 分 析 系 统 寻 找 系统 的 安全 漏洞 或 设计 
缺陷 。 黑 客 发 现 “ 补 丁 ” 程 序 的 接口 后 会 自己 编写 程序 ,通过 该 接口 进入 目标 系统 。 还 会 使 
JH Telnet, FTP 等 软件 向 目标 主机 申请 服务 ,如果 目标 主机 有 应 答 就 说 明 其 开发 了 这 些 端 
口 的 服务 。 其 次 ,使 用 一 些 公开 的 工具 软件 , 如 Internet 安全 扫描 程序 ISS (Internet 
Security Scanner) ,网络 安全 分 析 工 具 SATAN 等 来 对 网 络 进行 扫描 ,确定 安全 漏洞 ,或 使 
用 特洛伊 木马 来 获取 攻击 目标 系统 的 非法 访问 权 。 

在 获得 目标 系统 的 非法 访问 权限 后 ,黑客 则 会 实施 攻击 ,可 分 为 被 动 攻击 与 主动 攻击 。 

。 被 动 攻击 : 攻击 者 只 观察 和 分 析 某 一 个 协议 数据 单元 (PDU) 而 不 干扰 信息 流 。 例 

如 监听 截获 操作 等 。 
。 主动 攻击 : 攻击 者 对 某 个 连接 中 通过 的 数据 包 进 行 各 种 处 理 , 例 如 更 改 报 文 流 、 拒 
绝 报 文 服务 ,伪造 连接 初始 化 等 。 

攻击 程度 包括 以 下 等 级 : 

。 只 获得 访问 权 ( 登 录 名 和 口令 ) 。 

。 获得 访问 权 , 并 毁坏 .侵蚀 或 改变 数据 。 
获得 访问 权 , 并 获得 系统 一 部 分 或 整个 系统 的 控制 权 , 拒 绝 拥 有 特权 用 户 的 访问 。 
未 获得 访问 权 , 通 过 攻击 程序 引起 网 络 持久 性 或 暂时 性 的 运行 失败 .重新 启动 Ho 
或 其 他 无 法 操作 的 状态 。 

1. 黑客 攻击 过 程 

黑客 攻击 过 程 包括 以 下 步骤 : 

(1) 隐藏 自己 的 踪迹 。 通 过 清除 日 志 、 删 除 副 本 文件 .进程 隐藏 .连接 隐藏 .使 日 志 率 乱 
等 方法 销毁 人 侵 痕迹 ,并 在 受 攻 击 目标 系统 中 为 自己 建立 新 的 后 门 , 以 便 继续 访问 该 系统 。 

(2) 在 目标 系统 内 安装 探测 软件 ,如 特洛伊 木马 或 其 他 一 些 远 程控 制程 序 ,继续 收 集 感 
兴趣 的 信息 和 敏感 数据 。 黑 客 还 可 以 以 目标 系统 为 跳板 向 其 他 系统 发 起 攻击 。 

(3) 在 被 攻击 目标 系统 上 进一步 获得 特许 访问 权 , 开 展 对 整个 系统 的 攻击 ,毁坏 重要 数 
据 乃 至 破坏 整个 网 络 系统 。 

2. 主要 入 侵 方式 

1) 密码 破解 

密码 破解 包括 字典 攻击 、 伪 造 登录 程序 .密码 探测 程序 和 口令 攻击 等 9 种 入 侵 方 式 。 

。 字典 攻击 是 一 种 被 动 攻击 ,黑客 获取 系统 的 口令 ,然后 利用 字典 进行 匹配 比较 ,字典 

。 伪造 登录 程序 是 通过 伪造 登录 界面 来 获得 用 户 输入 的 账号 和 密码 。 

。 密码 探测 程序 能 够 反复 模拟 Windows NT 的 编码 过 程 ,并 与 Windows NT 系统 的 

SAM 密码 数据 库 内 的 数据 进行 匹配 。 
。 口令 攻击 是 指 通 过 网 络 监 听 非 法 得 到 用 户口 令 , 利 用 软件 强行 破解 用 户口 令 , 获 得 
用 户口 令 文 件 后 暴力 破解 用 户口 令 。 


口令 陷阱 : 在 网 络 服务 中 设置 虚假 界面 ,要 求 用 户 输入 用 户 名 与 口令 ,从 而 截获 该 
用 户 的 用 户 名 与 口令 。 

网 络 踩点 : 利用 工具 获取 目标 的 一 些 有 用 信息 ,如 域名 、IP 地 址 .网络 拓 扑 结构 及 相 
关 用 户 信 息 。 

协议 栈 指纹 : 利用 探测 包 , 从 得 到 的 响应 中 确定 目标 主机 使 用 的 操作 系统 。 

会 话 劫持 : 在 合法 的 通信 连接 建立 后 ,可 通过 阻塞 或 摧毁 通信 的 一 方 来 接管 已 经 建 
立 起 来 的 连接 ,从 而 假冒 被 接管 方 与 对 方 通信 。 

非 授权 访问 尝试 : 对 被 保护 文件 进行 读 、 写 或 执行 的 尝试 ,也 包括 为 获得 被 保护 访 
问 权 限 所 做 的 尝试 。 

2) 网 络 监听 

网 络 监听 又 称 为 IP 嗅 探 ,是 主机 的 一 种 工作 模式 。 在 这 种 模式 下 ,主机 可 以 接收 到 本 
网 段 在 同一 条 物理 通道 上 传输 的 所 有 信息 。 高 级 的 窃听 程序 能 够 生成 假 数据 包 、 解 码 等 功 
能 ,甚至 可 锁定 服务 器 的 特定 端口 ,自动 处 理 与 这 些 端口 有 关 的 数据 包 。 利 用 上 述 功能 ,可 
监听 他 人 的 联网 操作 , 盗 取信 息 。 

当 信 息 以 明文 的 形式 在 网 络 上 传输 时 , 便 可 以 使 用 网 络 监 听 的 方式 进行 攻击 。 将 网 络 
接口 设置 在 监听 模式 便 可 以 源源 不 断 地 将 网 上 的 信息 截获 。 网 络 监听 可 以 获取 网 络 中 所 有 
的 数据 包 。 

3) 系统 漏洞 与 欺骗 

。 漏洞 是 指 系 统 本 身 的 设计 、 操 作 和 实现 上 的 错误 ,这 些 漏洞 在 补丁 未 被 开发 出 来 之 
前 一 般 很 难 防御 黑客 的 破坏 。 
欺骗 是 主动 式 攻 击 ,利用 网 络 中 的 某 台 计算 机 来 伪装 男 一 台 目 标 主机 ,以 此 欺骗 网 
络 中 的 其 他 计算 机 向 伪造 计算 机 发 送 数 据 或 赋予 权限 ,和 常见 的 欺骗 方式 包括 IP HK 
骗 . 路 由 欺骗 .ARP 欺骗 以 及 Web 欺骗 。 

4) 端口 扫描 与 特洛伊 木马 

在 连续 的 非 授 权 访 问 过 程 中 ,攻击 者 为 了 获得 网 络 内 部 的 信息 ,通常 使 用 这 种 攻击 尝 
试 , 典 型 示例 包括 SATAN 扫描 、 端 口 扫描 和 IP 半途 扫描 等 。 

黑客 可 以 利用 一 些 端口 扫描 软件 ,如 SATAN IP Hacker 等 对 被 攻击 目标 进行 端口 扫 
Ti ,查看 是 否 存在 开放 端口 并 进行 通信 操作 。 扫 描 器 是 自动 监测 远程 或 本 地 主机 安全 性 弱 
点 的 程序 。 通 过 使 用 扫描 器 可 以 不 留 痕迹 地 发 现 远程 服 务 器 的 各 种 TCP 端口 的 分 配 、 提 供 
的 服务 和 软件 版 本 ,从 而 了 解 到 远程 主机 所 存在 的 安全 问题 。 

特洛伊 木马 是 一 种 基于 远程 控制 的 黑客 工具 。 木 马 程序 寄生 在 普通 程序 内 部 ,暗中 进 
行 某 些 破坏 性 操作 或 盗窃 数据 ,以 完成 某 些 特殊 任务 。 

不 能 自我 复制 是 特洛伊 木马 与 病毒 最 显著 的 区 别 。 特 洛 伊 木马 原则 上 只 是 一 种 远程 管 
理工 具 , 而 且 本 身 不 带 伤害 性 ,也 没有 感染 能 力 ,所 以 不 能 称 之 为 病毒 ;但 它 却 常常 被 视 之 为 
病毒 。 有 些 人 认为 特洛伊 木马 也 是 计算 机 病毒 的 一 种 ,将 其 称 为 木马 病毒 。 目 前 的 杀毒 软 
件 对 木马 有 一 定 的 预防 和 清除 作用 。 

5) 拒绝 服务 (Denial of Service,DoS) 攻 击 

最 基本 的 拒绝 服务 攻击 方式 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ,从 而 使 
合法 用 户 无 法 得 到 服务 DoS 攻击 分 为 4 种 : 


。 利用 TCP/ 了 协议 中 的 漏洞 进行 攻击 ,如 Ping of Death 和 Teardrop. 

。 利用 TCP/ 了 协议 的 脆弱 性 进行 攻击 ,如 SYN Flood M LAND Attacks. 

* 用 大 量 无 用 数据 淹没 一 个 网 络 ,如 Smurf Attack 和 Fraggle Attack, 

。 分 布 式 拒绝 服务 攻击 (DDoS) 。 

一 般 情 况 下 ,拒绝 服务 攻击 是 通过 使 被 攻击 对 象 ( 工 作 站 或 服务 器 ) 的 系统 关键 资源 过 
载 ,从 而 使 被 攻击 对 象 停止 部 分 或 全 部 服务 。 目 前 已 知 的 拒绝 服务 攻击 有 几 百 种 , 它 是 最 基 
本 的 入 侵 攻 击 手段 ,也 是 最 难 对 付 的 人 侵 攻 击 之 一 ,典型 示例 有 SYN Flood 攻击 、Ping 
Flood 攻击 、Land 攻击 和 WinNuke 攻击 等 。 

6) WWW 欺骗 技术 

将 用 户 浏览 的 网 页 的 URL 指向 黑客 设 定 的 服务 器 , 当 用 户 浏览 目标 网 页 的 时 候 , 实 际 
上 是 向 黑客 服务 器 发 出 请 求 ,以 达到 欺骗 的 目的 。 

7) 电子 邮件 攻击 

电子 邮件 攻击 主要 表现 为 两 种 方式 : 

。 电子 邮件 友 炸 ,向 同一 信箱 发 送 数 以 千 计 、 万 计 甚 至 无 穷 多 次 的 内 容 相 同 的 垃圾 邮 

件 , 致 使 电子 邮件 服务 器 操作 系统 瘫痪 。 

。 电子 邮件 欺骗 ,在 正常 的 附件 中 加 载 病 毒 或 其 他 木马 程序 。 

8) 缓冲 区 溢出 

缓冲 区 溢出 是 一 种 系统 攻击 手段 ,通过 往 程序 的 缓冲 区 写 入 超出 其 长 度 的 内 容 , 造 成 组 
冲 区 的 溢出 ,从 而 破坏 程序 的 堆栈 ,使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 据 统计 ， 
通过 缓冲 区 溢出 进行 的 攻击 占 所 有 系统 攻击 总 数 的 80% 以上。 一 般 情况 下 ,覆盖 其 他 数据 
区 的 数据 是 没有 意义 的 ,最 多 造成 应 用 程序 错误 。 但 是 ,如 果 输 入 的 数据 是 经 过 精心 设计 
的 ,覆盖 缓冲 区 的 数据 恰恰 是 入侵 程序 代码 ,入 侵 者 就 获取 了 程序 的 控制 权 。 

此 外 ,还 包括 社会 工程 学 攻击 、 黑 客 软件 攻击 以 及 跳板 攻击 等 。 

3. 主要 防范 措施 

可 采取 的 防范 措施 主要 包括 数据 加 密 、 身 份 认 证 .完善 访问 控制 策略 和 审计 等 。 

。 身份 认证 是 指 通过 密码 或 特征 信息 来 确认 用 户 身份 的 真实 性 ,对 重要 主机 单独 设立 
一 个 网 段 , 以 避免 机 器 被 攻破 后 造成 整个 网 段 通信 全 部 暴露 。 
完善 访问 控制 策略 ,设置 访问 权限 、 目 录 安 全 等 级 控制 .防火 墙 安全 控制 等 ,研究 清 
楚 各 进程 必需 的 进程 端口 号 ,关闭 不 必要 的 端口 。 
审计 是 指 把 系统 中 和 安全 相关 的 事件 全 部 记录 下 来 ,对 用 户 开 放 的 各 个 主机 的 日 志 
文件 全 部 定向 并 集中 管理 ,定期 检查 备份 日 志 主 机 上 的 数据 .系统 日 志文 件 和 关键 
配置 文件 。 
下 载 安 装 最 新 的 操作 系统 及 其 他 应 用 软件 的 安全 和 升级 补丁 ,安装 几 种 必要 的 安全 
加 强 工 具 ,对 系统 进行 完整 性 检查 。 
制定 详尽 的 入 侵 应 急 措 施 以 及 汇报 制度 。 发 现 和 人 侵 迹 象 就 立即 打开 进程 记录 功能 ， 
同时 保存 内 存 中 的 进程 列表 以 及 网 络 连 接 状 态 , 保 护 当 前 的 重要 日 志文 件 。 
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反攻 击 技术 (入 侵 检测 技术 ) 的 核心 问题 是 截获 有 效 的 网 络 信息 。 目 前 主要 是 通过 两 种 
ERE 


途径 来 获取 信息 。 

。 通过 网 络 侦 听 程序 (如 Sniffer, Vpacket 等 ) 来 获取 网 络 信息 (数据 包 信 息 、 网 络 流量 

信息 、 网 络 状态 信息 和 网 络 管理 信息 等 ) 。 
。 通过 对 操作 系统 和 应 用 程序 的 系统 日 志 进行 分 析 , 以 发 现 人 侵 行为 和 系统 潜在 的 安 
全 漏洞 。 

入 侵 检测 的 基本 手段 是 采用 模式 匹配 的 方法 来 发 现 人 侵 攻 击 行 为 ,典型 的 入 侵 检 测 方 
式 包括 以 下 内 容 : 

(1) Land 攻击 :是 一 种 拒绝 服务 攻击 。 由 于 Land 攻击 的 数据 包 中 的 源 地 址 和 目标 地 
址 是 相同 的 ,因此 当 操 作 系 统 接收 到 这 类 数据 包 时 ,不 知道 该 如 何 处 理 堆 栈 中 通信 源 地 址 和 
目的 地 址 相同 的 情况 ,或 者 循环 发 送 和 接收 该 数据 包 , 消 耗 大 量 的 系统 资源 ,从 而 造成 系统 
Ha WE PEL. 

检测 方法 :判断 网 络 数据 包 的 源 地 址 和 目标 地 址 是 否 相 同 。 配 置 防火 墙 或 过 滤 路 由 器 
的 过 滤 规 则 ,并 对 这 种 攻击 进行 审计 ,记录 事件 发 生 的 时 间 、 源 主机 和 目标 主机 的 MAC 地 
HE AM IP 地 址 。 

(2) TCP SYN 攻击 :是 一 种 拒绝 服务 攻击 。 利 用 TCP 客户 机 与 服务 器 之 间 三 次 握手 
过 程 的 缺陷 来 进行 攻击 。 攻 击 者 通过 伪造 源 IP 地 址 向 被 攻击 者 发 送 大量 的 SYN 数据 包 ， 
当 被 攻击 主机 接收 到 大 量 的 SY N 数据 包 时 ,需要 使 用 大 量 的 缓存 来 处 理 这 些 连 接 ,将 SYN 
ACK 数据 包 发 送 回 错误 的 IP 地址 ,并 一 直 等 待 ACK 数据 包 的 回应 ,最终 导 致 缓存 用 完 , 不 
能 再 处 理 其 他 合法 的 SYN 连接 ,对 外 提供 正常 服务 。 

检测 方法 :检查 单位 时 间 内 收 到 的 SYN 连接 否 收 超 过 系统 设 定 的 值 。 当 接收 到 大 量 
的 SYN 数据 包 时 ,通知 防火 墙 阻 断 连 接 请 求 或 丢弃 这 些 数据 包 , 并 进行 系统 审计 。 

(3) Ping of Death 攻击 :是 一 种 拒绝 服务 攻击 。 由 于 部 分 操作 系统 接收 到 长 度 大 于 
65 535B 的 数据 包 时 会 造成 内 存 溢 出 、 系 统 前 溃 等 后 果 , 从 而 达到 攻击 的 目的 。 

检测 方法 :判断 数据 包 的 大 小 是 否 大 于 65 535B。 使 用 补丁 程序 , 当 收 到 大 于 65 535B 
的 数据 包 时 ,丢弃 该 数据 包 , 并 进行 系统 审计 。 

(4) WinNuke 攻击 :是 一 种 拒绝 服务 攻击 。 特 征 是 攻击 目标 端口 ,被 攻击 的 目标 端口 
通常 是 139、138、137、113、53, 而 且 URG 位 设 为 1, 即 紧急 模式 。 

检测 方法 :判断 数据 包 目 标 端 口 是 否 为 139、138、137 等 ,并 判断 URG 位 是 否 为 1。 配 
置 防火 墙 设备 或 过 滤 路 由 器 ,并 对 这 种 攻击 进行 审计 。 

(5) Teardrop 攻击 :是 一 种 拒绝 服务 攻击 。 其 工作 原理 是 向 被 攻击 者 发 送 多 个 分 片 的 
IP 包 , 某 些 操 作 系 统 收 到 含有 重 释 偏 移 的 伪造 分 片 数据 包 时 将 会 出 现 系统 月 演 、 重 启 等 
现象 。 

检测 方法 :对 接收 到 的 分 片 数 据 包 进行 分 析 , 计 算数 据 包 的 片 偏 移 量 (offset) 是 否 有 误 。 
添加 系统 补丁 程序 ,丢弃 收 到 的 病态 分 片 数 据 包 ,并 对 这 种 攻击 进行 审计 。 

(6) TCP/UDP 端口 扫描 :是 一 种 预 探测 攻击 。 对 被 攻击 主机 的 不 同 端 口 发 送 TCP 或 
UDP 连接 请 求 ,探测 被 攻击 对 象 运行 的 服务 类 型 。 

检测 方法 :统计 外 界 对 系统 端口 的 连接 请 求 ,特别 是 对 21、23、25、53、80、8000、8080 等 
以 外 的 非常 用 端口 的 连接 请 求 。 当 收 到 多 个 TCP/UDP 数据 包 对 异常 端口 的 连接 请 求 时 ， 
通知 防火 墙 阻 断 连接 请 求 ,并 对 攻击 者 的 IP 地 址 和 MAC 地 址 进行 审计 。 

. lle. 


1.1.2.6 计算 机 取证 


计算 机 取证 又 称 为 数字 取证 或 电子 取证 ,是 指 对 计算 机 入侵 破坏 .欺诈 攻击 等 犯罪 行 
为 利用 计算 机 软 硬 件 技术 ,按照 符合 法 律 规范 的 方式 进行 证 据 获 取 、 保 存 . 分 析 和 出 示 的 过 
程 。 从 技术 上 ,计算 机 取证 是 一 个 对 受 侵 计 算 机 系统 进行 扫描 和 破解 ,以 及 对 整个 人 侵 事 件 
进行 重建 的 过 程 。 计 算 机 取证 包括 物理 证 据 获取 和 信息 发 现 两 个 阶段 : 

。 物理 证 据 获 取 是 指 调查 人 员 到 计算 机 犯罪 或 人 侵 现 场 ,寻找 并 扣留 相关 的 计算 机 

硬件 。 

。 信息 发 现 是 指 从 原始 数据 中 寻找 可 以 用 来 证 明 或 者 反驳 的 证 据 , 即 电 子 证 据 。 

物理 取证 是 核心 任务 。 物 理 证 据 的 获取 是 全 部 取证 工作 的 基础 。 获 取 物 理 证 据 , 保 证 
原始 数据 不 受 任何 破坏 ,应 遵守 如 下 操作 规定 : 

。 不 改变 原始 记录 。 

。 不 在 作为 证 据 的 计算 机 上 执行 无 关 的 操作 。 

。 不 要 给 犯罪 者 销毁 证 据 的 机 会 。 

。 详细 记录 所 有 的 取证 活动 。 

。 妥善 保存 得 到 的 物证 。 

如 果 被 入 侵 的 计算 机 处 于 工作 状态 ,取证 人 员 应 该 设法 保存 尽 可 能 多 的 犯罪 信息 。 

物理 取证 不 但 是 基础 ,而 且 是 技术 难点 。 案 件 发 生 后 ,应 立即 对 目标 机 和 网 络 设备 进行 
内 存 检查 并 做 好 记录 ,根据 所 用 操作 系统 的 不 同 可 以 使 用 相应 的 内 存 检查 命令 对 内 存 里 易 
删除 数据 进行 保存 ,力求 不 要 对 硬盘 进行 任何 读 写 操作 ,以免 更 改 数据 原始 性 。 利 用 专门 的 
工具 对 硬盘 进行 逐 扇 区 的 读 取 ,将 硬盘 数据 完整 地 克隆 出 来 ,便于 对 原始 硬盘 的 镜像 文件 进 
行 分 析 。 

在 道德 感化 .技术 防范 的 同时 ,无疑 也 离 不 开 法 律 防线 的 辅助 作用 ,需要 依靠 一 定 刑罚 
威慑 力 的 保障 。 美 国 是 世界 上 最 早 发 明 计 算 机 的 国家 ,也 是 世界 上 最 早 对 计算 机 黑客 行为 
进行 立法 规范 的 国家 。 其 中 ,最 著名 的 有 《1984 年 计算 机 欺诈 和 滥用 法 》。 从 某 种 意义 上 
Wr ,美国 反 计 算 机 犯罪 的 立法 给 其 他 国家 开展 相关 工作 提供 了 许多 可 资 借鉴 的 经 验 和 教训 。 

在 我 国 ,1994 年 国务 院 颁 布 的 (计算 机 信息 系统 安全 保护 条 例 ) 是 第 一 个 对 计算 机 信息 
系统 安全 进行 保护 的 法 规 。 该 条 例 没有 规定 计算 机 犯罪 的 罪名 ,但 是 第 二 十 四 条 规定 ,对 于 
违反 本 条 例 的 规定 构成 犯罪 的 ,依法 追究 刑事 责任 。 此 后 ,1996 年 国务 院 发 布 (计算 机 信息 
网 络 国际 联网 管理 暂行 规定 》(1997 年 作 了 修正 );1997 年 公安 部 发 布 (计算 机 信息 网 络 国际 
联网 安全 保护 管理 办 法 》;1998 年 ,国务 院 信息 化 工作 领导 小 组 发 布 (计算 机 信息 网 络 国际 


联网 管理 暂行 规定 实施 办 法 ); 国 家 保密 局 发 布 (计算 机 信 se 
部 ,中 国人 民 银 行 发 布 (金融 机 构 计算 机 信息 系统 安全 保护 工作 暂行 规定 》。 这 一 系列 法 律 
seo oem we 


随 着 计算 机 安全 与 犯罪 问题 日 益 严 重 , 公 安 部 起 草 了 涉及 计算 机 安全 与 犯罪 问题 的 专 

门 性 法 条 ,在 1997 年 (中华 人民 共 和 国 刑法 》 修 订 中 ,增加 了 关于 计算 机 安全 与 犯罪 的 3 个 

条 款 , 即 第 285 条 、 第 286 条 和 第 287 条 。1997 年 12 H 9 日 最 高 人 民法 院 审 判 委员 会 第 

951 次 会 议 通过 的 4 关于 执行 (中 华人 民 共 和 国 刑法 确定 罪名 的 规定 》, 规 定 了 两 个 罪名 , 即 

非法 侵入 计算 机 信息 系统 罪 和 破坏 计算 机 信息 系统 罪 。2000 4E 12 H 28 日 , 九 届 全 国人 大 
. 12 。 


常委 会 第 十 九 次 会 议 表 决 通过 (全 国人 民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决 
定 》, 规 定 对 于 侵入 国家 事务 、 国 防 事务 .尖端 科学 技术 领域 的 计算 机 信息 系统 的 行为 构成 犯 
罪 的 ,依照 刑法 有 关 规 定 追究 刑事 责任 ,进一步 强化 了 我 国 打击 计算 机 黑客 行为 的 法 律 
体系 。 


1.1.3 ”网络 安全 的 主要 影响 因素 


网 络 安全 的 主要 影响 因素 包括 以 下 几 个 方面 。 

1, 系统 安全 漏洞 

常用 的 各 种 操作 系统 几乎 都 或 多 或 少 存 在 安全 漏洞 。 系 统 安全 漏洞 分 为 两 种 : OA 
漏洞 : 软件 代码 编写 者 有 意 设 置 的 ,目的 在 于 当 失 去 对 系统 的 访问 权时 , 仍 能 进入 系统 。 
@ 无 意 漏洞 : 是 指 在 编写 软件 代码 时 无 意 留 下 的 缺陷 或 不 足 。 

据 统计 ,目前 发 现 的 系统 安全 漏洞 的 数量 已 经 接近 病毒 的 数量 。 典 型 的 系统 安全 漏洞 
有 远程 获得 超级 用 户 root 权限 ,远程 过 程 调用 (RPC) 服 务 以 及 它 所 安排 的 无 口令 入 口 等 。 

目前 流行 的 许多 操作 系统 均 存 在 网 络 安全 漏洞 ,如 UNIX 和 Windows。 黑 客 往往 就 是 
利用 这 些 操 作 系 统 本 身 所 存在 的 安全 漏洞 侵入 系统 ,具体 包括 以 下 几 个 方面 : 

CD 稳定 性 和 可 扩充 性 方面 。 由 于 设计 的 系统 不 规范 ,不 合理 以 及 缺乏 安全 性 考虑 , 因 
而 使 其 受到 影响 。 网 络 应 用 的 需求 没有 引起 足够 的 重视 ,设计 和 选 型 考虑 欠 周 密 , 从 而 使 网 
络 功能 发 挥 受阻 ,影响 网 络 的 可 靠 性 .扩充 性 和 升级 换代 。 

(2) 工作 站 网 卡 选 配 不 当 , 导 致 网 络 不 稳定 ,缺乏 安全 策略 。 许 多 站 点 在 防火 墙 配置 上 
无 意识 地 扩大 了 访问 权限 ,忽视 了 这 些 权 限 可 能 会 被 其 他 人 员 滥 用 ;此 外 ,访问 控制 配置 的 
复杂 性 ,容易 导致 配置 错误 ,从 而 给 他 人 以 可 乘 之 机 。 

2. TCP/IP 协议 安全 

TCP/IP 协议 原理 公开 ,存在 很 大 的 安全 隐患 ,缺乏 强健 的 安全 机 制 。 当 安全 工具 发 现 
并 努力 更 正 某 方面 的 安全 问题 时 ,其 他 的 安全 问题 又 出 现 了 。 因 此 ,黑客 总 是 可 以 使 用 先进 
的 手段 进行 攻击 。 

3. 人 为 因素 

人 为 因素 包括 人 为 的 无 意 失误 .恶意 攻击 及 管理 缺失 ,来 自 内 部 用 户 的 安全 威胁 远大 于 
外 网 用 户 的 安全 威胁 。 使 用 者 缺乏 安全 意识 ,许多 应 用 服务 系统 在 访问 控制 及 安全 通信 方 
面 考 虑 较 少 ,如 果 系 统 设 置 错误 ,很 容易 造成 损失 。 

整体 上 来 看 ,网 络 安全 主要 有 4 种 基本 的 威胁 :信息 泄露 .完整 性 破坏 .拒绝 服务 和 非法 
使 用 。 主 要 的 威胁 包括 两 大 类 : 

* 渗入 威胁 ,如 假冒 . 旁 路 ,授权 侵犯 。 

* 植 和 人 威胁 ,如 特洛伊 木马 、 陷 门 。 


1.2 网 络 安全 基本 知识 


互联 网 为 人 们 提供 了 快速 便捷 的 通信 手段 ,促进 了 计算 机 网 络 技术 在 社会 .经 济 各 领 
域 的 广泛 应 用 ,同时 也 为 伺机 窃取 利益 信息 的 不 法 之 徒 提 供 了 犯罪 场地 。 随 着 计算 机 网 络 
应 用 范围 的 不 断 扩大 ,网 络 安全 问题 已 成 为 当今 社会 的 一 个 焦点 。 据 伦敦 英国 银行 协会 统 
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计 ,全 球 每 年 因 计 算 机 犯罪 造成 的 损失 大 约 为 80 亿美 元 。 而 计算 机 安全 专家 则 指出 ,实际 
损失 金额 应 在 100 亿美 元 以 上 。 


1.2.1 网 络 安全 研究 内 容 


网 络 安全 包括 以 下 3 个 方面 的 内 容 : 
CD 计算 机 实体 的 安全 :在 一 定 的 环境 下 ,对 网 络 系统 中 设备 的 安全 保护 。 
(2) 网 络 系统 运行 安全 :在 实体 安全 前 提 下 ,保证 网 络 系统 不 受 偶然 的 或 恶意 的 威胁 ， 
能 够 连续 可 靠 地 运行 ,正常 的 网 络 服务 不 中 断 。 
(3) 信息 安全 :在 网 络 内 存储 和 处 理 的 信息 资源 具有 绝对 的 保密 性 、 完 整 性 和 可 用 性 ， 
不 存在 被 泄露 .更改 和 破坏 的 风险 。 确 保 网 络 系统 的 信息 安全 是 网 络 安全 的 目标 。 
。 保密 性 (confidentiality) :防止 信息 的 非 授 权 访 问 或 泄露 。 信 息 只 限于 授权 用 户 使 
用 ,保密 性 主要 通过 信息 加 密 、 身 份 认证 ,访问 控制 ,安全 通信 协议 等 技术 实现 ,信息 
加 密 是 防止 信息 非法 泄露 的 最 基本 手段 。 
。 完整 性 (integrity) :保证 信息 不 会 被 非法 改动 和 销毁 。 保 密 性 强调 信息 不 能 非法 汇 
露 ,而 完整 性 强调 信息 在 存储 和 传输 过 程 中 不 能 被 偶然 或 蓄意 修改 .删除 、 伪 造 、 添 
MERRER ,信息 在 存储 和 传输 过 程 中 必须 保持 原样 。 信 息 完 整 性 表明 了 信息 
的 可 靠 性 、 正 确 性 有 效 性 和 一 致 性 ,只 有 完整 的 信息 才 是 可 信任 的 信息 。 
可 用 性 (availability) :保证 网 络 资源 随时 可 被 合法 用 户 访问 。 是 信息 资源 容许 授权 
用 户 按 需 访问 的 特性 ,有 效 性 是 信息 系统 面向 用 户 服务 的 安全 特性 。 信 息 系 统 只 有 
持续 有 效 ,授权 用 户 才 能 随时 随地 根据 自己 的 需要 访问 信息 系统 提供 的 服务 。 
完整 的 网 络 信息 安全 体系 至 少 应 包括 三 类 措施 : 
。 社会 的 法 律 政策 .安全 的 规章 制度 以 及 安全 教育 等 外 部 软环境 。 
。 技术 方面 的 措施 , 如 防火 墙 技术 、 网 络 防 毒 、 信 息 加 密 存储 与 通信 、 身 份 验证 、 授 
权 等 。 
。 审计 和 管理 措施 ,同时 包含 了 技术 与 社会 措施 。 
保证 网 络 安全 的 技术 手段 主要 包括 以 下 几 方 面 : 
。 信息 加 密 :数据 传输 加 密 .数据 存储 加 密 .数据 完整 性 鉴别 和 密 钥 管 理 。 
。 身份 验证 和 授权 管理 :实体 访问 控制 .数据 访问 控制 。 
。 安全 防御 :防火 墙 技术 、 防 病毒 技术 ;网 络 介质 和 通信 链 路 的 保护 。 
。 安全 审计 和 管理 :网 络 实时 监控 ,安全 策略 审计 和 漏洞 扫描 。 


1.2.2 网 络 安全 体系 结构 


当前 ,通用 的 网 络 层次 标准 有 OSI 和 TCP/IP 两 种 ( 见 表 1.2.1). OSI 是 理论 标准 ， 
TCP/IP 是 工业 的 事实 标准 。 由 于 不 同 的 局 域 网 有 不 同 的 网 络 协议 ,为 了 使 不 同 的 网 络 能 
够 互联 ,必须 建立 统一 的 网 络 互 连 协议 。 为 此 ,ISO( 国 际 标准 化 组 织 ) 提 出 了 网 络 互 连 协议 
的 基本 框架 , 称 为 开放 系统 互 连 (OSD 参 考 模型 。 它 将 整个 网 络 的 功能 划分 成 7 个 层次 ,应 
用 层 、 表 示 层 ,会 话 层 和 传输 层 被 归 为 高 层 , 而 网 络 层 .数据 链 路 层 和 物理 层 被 归 为 底层 。 高 
层 负责 主机 之 间 的 数据 传输 ,底层 负责 网 络 数据 传输 。 
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表 1.2.1 网 络 体系 层次 

OSI 模型 主要 功能 常见 协议 || TCP/IP 网 络 主要 功能 常见 协议 
应 用 层 提供 应 用 程序 间 通 信 | HTTP,FTP 
表示 层 数据 格式 ,数据 加 密 | NBSSL.LPP | 应 用 层 提供 应 用 程序 接口 HTTP.FTP 
会 话 层 建立 .维护 和 管理 会 话 | RPC,LDAP 
传输 层 建立 主机 端 到 端 连接 |TCP.UDP | 传输 层 建立 端 到 端 连接 TCP,UDP 
网 络 层 寻 址 和 路 由 选择 IP,ICMP 互联 网 层 寻 址 和 路 由 选择 IP,ICMP 
数据 链 路 层 | 介质 访问 和 链 路 管理 | PPP ate rg | 二 进 制 数据 流传 输 和 | pp 
物理 层 比特 流传 输 物理 介质 访问 


层 与 层 之 间 的 联系 是 通过 各 层 之 间 的 接口 来 进行 的 ,上 层 通过 接口 向 下 层 提 出 服务 请 
求 ,而 下 层 通过 接口 向 上 层 提供 服务 。 除 物理 层 之 外 ,各 对 等 层 之 间 均 不 存在 直接 的 通信 关 
FR ,而 是 通过 各 对 等 层 之 间 的 通信 协议 来 进行 通信 ,只 有 两 个 物理 层 之 间 通 过 传输 介质 进行 
真正 的 数据 通信 。 


1.2.2.1 


OSI 参考 模型 


OSI 参考 模型 是 研究 .设计 新 的 计算 机 网 络 系统 和 评估 改进 现 有 系统 的 理论 依据 ,是 
理解 和 实现 网 络 安全 的 基础 。 在 OSI 安全 参考 模型 中 主要 包括 安全 服务 (Security Service), 
安全 机 制 (Security Mechanism) 和 安全 管理 (Security Management) 。 

网 络 的 安全 服务 包括 以 下 内 容 。 


息 换 掉 。 


对 等 实体 认证 服务 : 对 实体 的 合法 性 真实 性 进行 确认 。 
访问 控制 服务 : 防止 对 任何 资源 的 非 授权 访问 。 
数据 保密 服务 : 加 密 保 护 ,防止 被 截获 的 数据 泄密 。 
数据 完整 性 服务 : 使 消息 的 接收 者 能 够 发 现 消息 是 否 被 修改 ,是 否 被 攻击 者 用 假 消 


数据 源 点 认证 服务 : 数据 来 自 真 正 的 源 点 ,以 防 假冒 。 
信息 流 安全 服务 : 通过 流量 填充 阻止 非法 流量 分 析 。 
不 可 否认 服务 : 防止 对 数据 源 以 及 数据 提交 的 否认 。 


为 了 实现 这 些 安全 服务 ,需要 一 系列 安全 机 制作 为 支撑 。 


加 密 机 制 : 应 用 现代 密码 学 理论 ,确保 数据 的 机 密 性 。 
数字 签名 机 制 : 保证 数据 完整 性 和 不 可 否认 性 。 
访问 控制 机 制 : 与 实体 认证 相关 , 且 要 牺牲 网 络 性 能 。 

数据 完整 性 机 制 : 保证 数据 在 传输 过 程 中 不 被 非法 入 侵 算 改 。 
认证 交换 机 制 : 实现 站 点 、 报 文 .用 户 和 进程 认证 等 。 

流量 填充 机 制 : 针对 流量 分 析 攻 击 而 建立 的 机 制 。 
路 由 控制 机 制 : 可 以 指定 数据 通过 网 络 的 路 径 。 
公证 机 制 : 利用 数字 签名 技术 由 第 三 方 来 提供 公正 仲裁 。 


1.2.2.2 网 络 安全 控制 系统 


通过 对 网 络 应 用 的 全 面 了 解 ,按照 安全 风险 .需求 分 析 结 果 安全 策略 以 及 安全 目标 ,在 
进行 安全 控制 系统 设计 时 应 从 物理 安全 .系统 安全 .网络 安全 应 用 安全 ,管理 安全 等 几 个 方 
面 加 以 考虑 。 

(1) 物理 安全 : 是 保障 整个 网 络 系统 安全 的 前 提 , 保 护 计算 机 网 络 的 物理 通路 不 被 损 
坏 .不 被 窃听 以 及 不 被 攻击 和 于 扰 。 它 包括 3 个 方面 : 环境 安全 ,设备 安全 和 媒体 安全 。 防 
范 措 施 包括 : 对 重要 信息 存储 、 收 发 部 门 进行 屏蔽 处 理 , 防 止 信号 外 泄 ; 对 局 域 网 传输 线路 
传输 辐射 的 抑制 ;对 终端 设备 辐射 的 防范 。 

(2) 系统 安全 : 包括 网 络 结构 安全 操作 系统 安全 和 应 用 系统 安全 。 网 络 结构 安全 指 
网 络 拓扑 结构 是 否 合理 、 线 路 是 否 有 元 余 、 路 由 是 否 匈 余 、 防 止 单 点 失败 等 。 安 全 防范 策略 
包括 : 尽量 采用 安全 性 较 高 的 网 络 操作 系统 并 进行 必要 的 安全 配置 ;关闭 不 常用 却 存在 安 
全 隐患 的 应 用 ;对 保存 有 用 户 信 息 及 其 口令 的 关键 文件 使 用 权限 进行 严格 限制 ;通过 配备 安 
全 扫描 系统 对 操作 系统 进行 安全 性 扫描 ,及 时 发 现 安全 漏洞 ;应 用 服务 器 应 关闭 一 些 不 经 常 
使 用 的 协议 及 协议 端口 号 ,加 强身 份 认证 ,严格 限制 登录 者 的 操作 权限 。 

(3) 网 络 安全 : 是 整个 安全 解决 方案 的 关键 ,通过 访问 控制 .通信 保密 、 入 侵 检 测 、 网 络 
安全 扫描 系统 、 防 病毒 工具 等 措施 来 保障 。 隔 离 与 访问 控制 可 通过 严格 的 管理 制度 划分 虚 
拟 子 网 (VLAN) .配备 防火 墙 来 进行 ;防火 墙 是 实现 网 络 安全 最 基本 、 最 经 济 、 最 有 效 的 措施 
之 一 , 它 通过 制定 严格 的 安全 策略 实现 内 外 网 络 或 内 部 网 络 不 同 信 任 域 之 间 的 隔离 与 访问 
控制 ;通信 保密 使 得 在 数据 以 密 文 形式 在 网 络 上 传输 ,可 以 选择 链 路 层 加 密 和 网 络 层 加 密 等 
方式 ;人 侵 检 测 是 根据 已 有 攻击 手段 的 信息 代码 对 所 有 网 络 操作 行为 进行 实时 监控 .记录 ， 
并 按 制 定 的 策略 予以 响应 ,从 而 防止 针对 网 络 的 攻击 与 犯罪 行为 ;网 络 扫描 系统 可 以 对 网 络 
中 所 有 部 件 (Web 站 点 、 防 火 墙 、 路 由 器 、TCP/IP 及 相关 协议 服务 ) 进 行 攻击 性 扫描 、 分 析 和 
评估 ,发 现 并 报告 系统 存在 的 弱点 和 漏洞 ,评估 安全 风险 ,建议 补救 措施 ;病毒 防护 也 是 网 络 
安全 建设 的 重要 环节 之 一 , 反 病 毒 技术 包括 预防 病毒 .检测 病毒 和 杀毒 3 种 。 

(4) 应 用 安全 : 表现 在 内 部 网 络 系统 中 资源 共享 和 信息 存储 等 方面 。 严 格 控制 内 部 员 
工 对 网 络 共享 资源 的 使 用 ,在 内 部 子 网 中 一 般 不 开放 共享 目录 ,对 有 经 常 交换 信息 需求 的 用 
户 ,在 共享 时 必须 加 装 口 令 认 证 机 制 。 对 数据 库 服务 器 中 的 数据 库 必须 做 安全 备份 ,通过 网 
络 备份 系统 ,也 可 以 进行 远程 备份 存储 。 

(5) 安全 管理 : 制定 健全 的 安全 管理 体制 ,构建 安全 管理 平台 ,增强 人 员 的 安全 防范 意 
识 。 制 定 健全 的 安全 管理 体制 是 网 络 安全 得 以 实现 的 重要 保证 ;应 经 常 对 人 员 进 行 网 络 安 
全 防范 意识 的 培训 ,全 面 提 高 人 员 的 网 络 安全 防范 意识 ;组 建安 全 管理 子 网 ,安装 集中 统一 
的 安全 管理 软件 ,如 病毒 软件 管理 系统 、 网 络 设备 管理 系统 以 及 网 络 安全 设备 统一 管理 软 
件 , 通 过 安全 管理 平台 实现 全 网 的 安全 管理 。 

1.2.2.3 安全 体系 设计 

安全 体系 设计 原则 包括 以 下 几 个 方面 。 

(1) 需求 .风险 .代价 平衡 分 析 的 原则 : 对 任 一 网 络 来 说 ,绝对 安全 难以 达到 。 要 进行 


实际 分 析 , 对 网 络 面临 的 威胁 及 可 能 承担 的 风险 进行 定性 与 定量 相 结合 的 分 析 , 制 定 规范 和 
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措施 ,确定 系统 安全 策略 。 

C2) 一 致 性 原则 : 是 指 网 络 安全 问题 应 与 网 络 的 生命 周期 并 存 , 制 定 的 安全 体系 结构 
必须 与 网 络 的 安全 需求 相 一 致 。 

(3) 易 操 作 性 原则 : 安全 措施 要 具有 便利 性 和 可 操作 性 ,考虑 管理 人 员 的 自身 素质 ,对 
操作 人 员 的 要 求 不 宜 过 高 。 


1.2.2.4 网 络 安全 策略 


网 络 安全 策略 应 考虑 安全 管理 策略 和 安全 技术 实施 策略 两 个 方面 。 

COD 管理 策略 : 即使 是 最 好 的 、 最 值得 信赖 的 系统 安全 措施 ,也 不 能 完全 由 计算 机 系统 
来 独立 完成 ,需要 建立 完备 的 安全 组 织 和 管理 制度 ,以 约束 操作 人 员 。 

(2) 技术 策略 : 要 针对 网 络 .操作 系统 ,数据库 和 信息 共享 授权 提出 具体 的 措施 。 

计算 机 信息 系统 的 安全 管理 主要 基于 3 个 原则 , 即 多 人 负责 原则 、 任 期 有 限 原则 和 职责 
分 离 原则 。 由 于 网 络 互联 在 链 路 层 .网 络 层 ,传输 层 和 应 用 层 等 不 同 协议 层 均 有 体现 , 且 各 
个 层 的 功能 和 安全 特性 不 同 , 因 而 其 网 络 安全 措施 也 不 相同 。 

物理 层 安 全 涉及 传输 介质 的 安全 特性 , 抗 干扰 、 防 窃听 是 制定 物理 层 安全 措施 的 重点 。 

在 链 路 层 , 可 以 通过 建立 虚拟 局 域 网 ,对 物理 和 逻辑 网 段 进行 有 效 的 分 割 和 隔离 ,消除 
不 同安 全 级 别 逻 辑 网 段 间 的 窃听 风险 。 

在 网 络 层 , 可 通过 对 不 同 子 网 的 定义 和 对 路 由 器 的 路 由 表 控 制 来 限制 子 网 间 的 通信 s d 
时 ,利用 网 关 的 安全 控制 能 力 ,限制 节 点 的 通信 和 应 用 服务 ,加强 对 外 部 用 户 的 识别 和 验证 
能 力 。 


1.2.3 网 络 安全 评价 标准 


评价 标准 中 比较 流行 的 是 1985 美国 国防 部 制定 的 4 可 信 计 算 机 系统 评价 准则 》 
(TCSEC) ,各 国 根据 自己 的 国情 也 都 制定 了 相关 的 标准 。 


1.2.3.1 中 国 评价 标准 


在 我 国 ,1999 年 10 月 经 过 国家 质量 技术 监督 局 批准 发 布 的 (计算 机 信息 系统 安全 保护 
等 级 划分 准则 将 计算 机 安全 保护 划分 为 以 下 5 个 级 别 : 

第 1 级 为 用 户 自主 保护 级 (GB1 安全 级 ) : 它 的 安全 保护 机 制 使 用 户 具 备 自主 安全 保护 
的 能 力 ,保护 用 户 的 信息 免 受 非法 的 读 写 破坏 。 

第 2 级 为 系统 审计 保护 级 (GB2 安全 级 ) : 除 具 备 第 一 级 所 有 的 安全 保护 功能 外 ,要 求 
创建 和 维护 访问 的 审计 跟踪 记录 ,使 所 有 的 用 户 对 自己 的 行为 的 合法 性 负责 。 

第 3 级 为 安全 标记 保护 级 (GB3 安全 级 ) : 除 继承 前 一 级 别 的 安全 功能 外 ,还 要 求 以 访 
问 对 象 标记 的 安全 级 别 限制 访问 者 的 访问 权限 ,实现 对 访问 对 象 的 强制 保护 。 

第 4 级 为 结构 化 保护 级 (GB4 安全 级 ) : 在 继承 前 面 安全 级 别 安全 功能 的 基础 上 ,将 安 
全 保护 机 制 划分 为 关键 部 分 和 非 关键 部 分 ,对 关键 部 分 直接 控制 访问 者 对 访问 对 象 的 存 取 ， 
从 而 加 强 系统 的 抗 渗透 能 力 。 
第 5 级 为 访问 验证 保护 级 (GB5 安全 级 ) : 这 一 级 别 特别 增设 了 访问 验证 功能 ,负责 仲 
裁 访问 者 对 访问 对 象 的 所 有 访问 活动 。 
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从 20 世纪 80 年 代 中 期 开始 ,我 国 自主 制定 和 采用 了 一 批 相 应 的 信息 安全 标准 。 但 是 ， 
应 该 承认 ,标准 的 制定 需要 较为 广泛 的 应 用 经 验 和 较为 深入 的 研究 背景 。 这 两 方面 的 差距 ， 
使 我 国 的 信息 安全 标准 化 工作 与 国际 已 有 的 工作 相 比 ,覆盖 的 范围 还 不 够 大 ,宏观 和 微观 的 
指导 作用 也 有 待 进一步 提高 。 


1.2.3.2 国际 评价 标准 


美国 国防 部 开发 的 计算 机 安全 标准 《可 信 计 算 机 系统 评价 准则 》(Trusted 
Computer System Evaluation Criteria, TCSEC) , 即 网 络 安全 橙 皮 书 ,自从 1985 年 成 为 美国 
国防 部 的 标准 以 来 ,一 直 是 评估 多 用 户主 机 和 小 型 操作 系统 的 主要 方法 。 其 他 子 系统 (如 数 
据 库 和 网 络 ) 也 一 直 用 橙 皮 书 来 解释 评估 。 橙 皮 书 把 安全 的 级 别 从 低 到 高 分 成 4 个 类 别 : 
DD 类 、C 类 、B 类 和 A 类 ,每 类 又 分 几 个 级 别 ,如 表 1.2.2 Bron. 
表 1.2.2 网 络 安全 评价 级 别 


类 别 级 别 名 R 主要 特征 

D D 低级 保护 没有 安全 保护 

Cl 自主 安全 保护 自主 存储 控制 

C2 受 控 存储 控制 单独 的 可 查 性 ,安全 标识 
Bl 标识 的 安全 保护 强制 存 取 控制 ,安全 标识 

B B2 结构 化 保护 面向 安全 的 体系 结构 , 较 好 的 抗 渗 透 能 力 
B3 安全 区 域 存 取 监控 、 高 抗 渗 透 能 力 

A A 验证 设计 形式 化 的 最 高 级 描述 和 验证 


D 级 是 最 低 的 安全 级 别 , 拥 有 这 个 级 别 的 操作 系统 就 像 一 个 门户 大 开 的 房子 ,任何 人 都 
可 以 自由 进出 ,是 完全 不 可 信任 的 。 对 于 硬件 来 说 ,没有 任何 保护 措施 ,操作 系统 容易 受到 
损害 ,没有 系统 访问 限制 和 数据 访问 限制 ,任何 人 不 需 任 何 账户 都 可 以 进入 系统 ,不 受 任何 
限制 可 以 访问 他 人 的 数据 文件 。 属 于 这 个 级 别 的 操作 系统 有 DOS 和 Windows 98 等 。 

Cl 是 C 类 的 一 个 安全 子 级 。C1 又 称 选 择 性 安全 保护 (Discretionary Security 
Protection) 系 统 , 它 描述 了 一 个 典型 的 用 在 UNIX 系统 上 的 安全 级 别 。 这 种 级 别 的 系统 对 
硬件 有 某 种 程度 的 保护 ,如 用 户 拥有 注册 账号 和 口令 ,系统 通过 账号 和 口令 来 识别 用 户 是 否 
合法 ,并 决定 用 户 对 程序 和 信息 拥有 何 种 访问 权限 ,但 硬件 受到 损害 的 可 能 性 仍然 存在 。 

C2 级 除了 包含 C1 级 的 特征 外 ,还 具有 访问 控制 环境 (Controlled Access Environment) 
权力 , 即 具有 进一步 限制 用 户 执 行 某 些 命令 或 者 访问 某 些 文件 的 权限 ,而 且 还 加 入 了 身份 认 
证 等 级 。 另 外 ,系统 对 事件 进行 审计 ,并 写 人 日志 中 ,如 何 时 开机 ,用 户 在 何 时 何 地 登录 系统 
等 ,通过 查看 日 志 , 就 可 以 发 现 人 侵 痕 迹 。 审 计 除 了 可 以 记录 下 系统 管理 员 执 行 的 活动 以 
外 ,还 加 入 了 身份 认证 级 别 。 该 级 别 的 缺点 在 于 它 需 要 额外 的 处 理 时 间 和 磁盘 空间 。 

使 用 附加 身份 验证 就 可 以 让 一 个 C2 级 系统 用 户 在 不 是 超级 用 户 的 情况 下 有 权 执 行 系 
统管 理 任 务 。 授 权 分 级 使 系统 管理 员 能 够 给 用 户 分 组 ,授予 他 们 访问 某 些 程序 的 权限 或 访 
问 特定 的 目录 。 能 够 达到 C2 级 别 的 常见 操作 系统 有 UNIX. Novell 3. X 或 更 高 版 本 ， 
Windows NT,Windows 2000 和 Windows 2003, 
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B 级 中 有 3 个 级 别 ,B1l 级 即 标志 安全 保护 (Labeled Security Protection) ,是 支持 多 级 安 
全 (例如 秘密 和 绝密 ) 的 第 一 个 级 别 ,这 个 级 别 说 明 处 于 强制 性 访问 控制 之 下 的 对 象 ,系统 不 
允许 文件 的 拥有 者 改变 其 许可 权限 。 这 种 安全 级 别 的 计算 机 系统 一 般 在 政府 机 构 中 ,比如 
国防 部 和 国家 安全 局 的 计算 机 系统 。 

B2 级 ,又 叫 结构 保护 (Structured Protection) 级 别 , 它 要 求 计 算 机 系统 中 所 有 的 对 象 都 
要 加 上 标签 ,而 且 给 设备 (磁盘 、 磁 带 和 终端 ) 分 配 单个 或 者 多 个 安全 级 别 。 

B3 级 ,又 叫 安全 域 (Security Domain) 级 别 , 使 用 安装 硬件 的 方式 来 加 强 域 的 安全 , 例 
如 ,内 存 管理 硬件 用 于 保护 安全 域 免 遭 无 授权 访问 或 更 改 其 他 安全 域 的 对 象 。 该 级 别 也 要 
求 用 户 通 过 一 条 可 信任 途径 连接 到 系统 上 。 

A 级 ,又 称 验 证 设计 (Verified Design) 级 别 ,是 当前 术 皮 书 的 最 高 级 别 , 它 包含 了 一 个 
严格 的 设计 ,控制 和 验证 过 程 。 安 全 级 别 设计 必须 从 数学 角度 上 进行 验证 ,而 且 必 须 进 行 秘 
密 通道 和 可 信任 分 布 分 析 。 

可 信任 分 布 (Trusted Distribution) 的 含义 是 : 硬件 和 软件 在 物理 传输 过 程 中 受到 保 
护 , 以 防止 破坏 安全 系统 。 


1.2.4 信息 安全 定义 


信息 安全 是 指 信息 网 络 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 会 由 于 偶然 的 或 者 
恶意 的 原因 而 遭 到 破坏 ,更改 .泄露 ,系统 连续 .可 靠 . 正 常 地 运行 ,信息 服务 不 中 断 。 信 息 安 
全 是 一 门 涉及 计算 机 科学 网络 技术 ,通信 技术 ,密码 技术 、 信 息 安全 技术 应 用 数学 数论 和 
信息 论 等 多 种 学 科 的 综合 性 学 科 。 

随 着 信息 安全 技术 的 发 展 ,我 们 经 历 了 从 基本 安全 隔离 和 主机 加 固 阶段 到 后 来 的 网 络 
认证 阶段 ,直到 将 行为 监控 和 审计 也 纳入 安全 的 范畴 。 这 样 的 演变 不 仅 是 为 了 避免 恶意 攻 
击 , 更 重要 的 是 为 了 提高 网 络 的 可 信和 度 。 

信息 安全 的 内 涵 在 不 断 地 延伸 ,从 最 初 的 信息 保密 性 发 展 到 信息 的 完整 性 、 可 用 性 、 可 
控 性 和 不 可 否认 性 ,进而 又 发 展 为 * 攻 (攻击 )、 防 (防范 )、 测 (检测 )、 控 (控制 )、 管 (管理 )、 评 
(评估 )” 等 多 方面 的 基础 理论 和 实施 技术 。 

从 广义 上 讲 , 凡 是 涉及 网 络 上 信息 的 保密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 技 
术 和 理论 都 是 网 络 安全 的 研究 领域 。 目 前 常用 的 基础 性 安全 技术 包括 以 下 内 容 。 
身份 认证 技术 : 用 来 确定 用 户 或 者 设备 身份 的 合法 性 ,典型 的 手段 有 口令 、 身 份 识 
别 .PKI 证 书 和 生物 认证 等 。 

加 解密 技术 : 在 传输 过 程 或 存储 过 程 中 进行 信息 数据 的 加 解密 ,典型 的 加 密 体制 可 
采用 对 称 加 密 和 非 对 称 加 密 。 

边界 防护 技术 : 防止 外 部 网 络 用 户 以 非法 手段 进入 内 部 网 络 ,保护 内 部 网 络 操作 环 
境 , 典 型 的 设备 有 防火 墙 和 入 侵 检测 设备 。 

访问 控制 技术 : 保证 网 络 资源 不 被 非法 使 用 和 访问 。 访 问 控制 是 网 络 安全 防范 和 
保护 的 主要 核心 策略 ,在 身份 识别 的 基础 上 ,根据 身份 对 提出 资源 访问 的 请 求 加 以 


权限 控制 。 
"主机 加 固 技术 : 对 操作 系统 .数据 库 等 进行 漏洞 加 固 和 保护 ,提高 系统 的 抗 攻 击 
能 力 。 
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。 安全 审计 技术 : 包含 日 志 审 计 和 行为 审计 ,通过 日 志 审 计 协 助 管理 员 评 估 网 络 配置 
的 合理 性 以 及 安全 策略 的 有 效 性 :通过 对 用 户 的 网 络 行为 进行 审计 ,确认 行为 的 合 
规 性 ,确保 管理 的 安全 。 

随 着 信息 网 络 的 不 断 普 及 ,网 络 攻击 手段 也 不 断 复杂 化 、 多 样 化 , 随 之 产生 的 信息 安全 
技术 和 解决 方案 也 在 不 断 发 展 变化 ,安全 产品 和 解决 方案 也 更 趋 于 合理 化 、 适 用 化 。 经 过 多 
年 的 发 展 ,安全 防御 体系 已 由 “被 动 防范 ”向 “主动 防御 ”发 展 ,由 “保护 网 络 ” 向 “保护 资产 ”过 
渡 , 并 逐步 构建 出 具有 可 防 、 可 控 、 可 信 特 点 的 信息 网 络 架 构 。 


1.3 网 络 安全 实验 基本 要 求 


实验 目的 


通过 网 络 安全 实验 使 学 生 认 识 网 络 安全 技术 的 基本 概念 原理 和 技术 ,掌握 基本 的 网 络 
安全 攻防 技术 ,常用 工具 的 使 用 方法 及 原理 ;加 深 对 课堂 理论 教学 的 理解 ;培养 学 生 的 实验 


1.3.1 


技能 .动手 能 力 和 分 析 问 题 .解决 问题 的 能 力 。 
1.3.2 实验 要 求 
通过 本 实验 课程 的 学 习 , 学 生 应 达到 下 列 基本 要 求 : 
(1) 了 解 计算 机 网 络 安全 的 重要 性 以 及 相关 的 法 律 法 规 ,建立 网 络 安全 意识 。 
(2) 掌握 计算 机 网 络 安全 方面 的 基本 技术 ,能 对 系统 的 安全 问题 提出 相应 的 对 策 。 
(3) 掌握 网 络 安全 的 防范 技术 和 防 计算 机 病毒 技术 。 
1.3.3 实验 内 容 


表 1. 3. 1 为 本 实验 教程 所 规划 的 实验 项 目 内 容 、 学 时 分 配 、 实 验 类 型 及 综合 要 求情 况 。 


表 1.3.1 实验 项 目 建议 内 容 
序号 | 基本 实验 内 容 | 建议 学 时 内 容 提 要 实验 类 型 | 实验 要 求 
1 | 网 络 分 析 器 应 ABAAA ZM TAR ER a | 撰写 网 络 分 析 测 
用 实验 对 局 域 网 的 数据 进行 分 析 试 分 析 报 告 
。 | 剖析 远程 控制 了 解 远 程控 制 的 基本 原理 ,熟悉 远程 | je | 编写 一 个 远程 控 
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* 2x 网 络 安 全 研究 内 容 


2.1 密码 技术 
2.1.1 基本 概念 


密码 学 (cryptology) 一 词 是 由 希腊 字 根 “隐藏 ”>(Kryptes) 及 “信息 ”(l6gos) 组 合 而 成 的 ， 
泛 指 一 切 有 关 密 码 通信 的 研究 内 容 , 密 码 具 有 信息 加 密 、 可 鉴别 性 、 完 整 性 . 抗 抵赖 性 等 作 
用 。 密 码 学 是 研究 编制 密码 和 破译 密码 的 技术 科学 。 研 究 密码 变化 的 客观 规律 ,应 用 于 编 
制 密码 以 保守 通信 秘密 的 , 称 为 编码 学 ;应 用 于 破译 密码 以 获取 通信 情报 的 , 称 为 破译 学 ,总 

密码 是 通信 双方 按 约定 的 法 则 进行 信息 特殊 变换 的 一 种 重要 保密 手段 。 依 照 这 些 法 
则 , 变 明文 为 密 文 , 称 为 加 密 变 换 ; 变 密 文 为 明文 , 称 为 解密 变换 。 密 码 在 早期 仅 对 文字 或 数 
码 进行 加 密 和 人 解密 变换 , 随 着 通信 技术 的 发 展 ,对 语音 、 图 像 和 数据 等 都 可 实施 加 密 和 解密 
变换 。 密 码 学 是 在 编码 与 破译 的 斗争 实践 中 逐步 发 展 起 来 的 ,并 随 着 先进 科学 技术 的 应 用 ， 
已 成 为 一 门 综合 性 的 尖端 技术 科学 。 

密码 体制 也 称 为 密码 系统 ,是 指 能 完整 地 解决 信息 安全 性 中 机 密 性 .数据 完整 性 .认证 、 
身份 识别 .可 控 性 及 不 可 抵赖 性 等 问题 中 的 一 个 或 者 多 个 的 完整 系统 。 要 对 一 个 密码 体制 
作出 正规 描述 ,需要 用 数学 方法 清楚 地 描述 其 中 的 各 种 对 象 、 参 数 、 解 决 问题 所 使 用 的 算 
法 等 。 


2.1.2 密码 算法 


在 网 络 安 全 领域 常见 的 加 密 算法 有 以 下 3 种 。 

1. DES 算法 

DES 算法 属于 密码 体制 中 的 对 称 密码 体制 ,又 称 为 美国 数据 加 密 标准 ,是 1972 年 美国 
IBM 公司 研制 的 对 称 密码 体制 加 密 算法 。 其 密 钥 长 度 为 56 位 ,明文 按 64 位 进行 分 组 ,将 
分 组 后 的 明文 根据 56 位 的 密 钥 按 位 替代 或 交换 的 方法 形成 密 文 。 

该 算法 的 特点 是 : 分 组 较 短 、. 密 钥 很 短 ,密码 生命 周期 短 ,运算 速度 较 慢 。DES 算法 的 
和 人口 参数 有 3 个 : Key.Data 和 Mode. Key 为 加 密 解 密使 用 的 密 钥 ,Data 为 加 密 解 密 的 数 
据 ,Mode 为 其 工作 模式 。 当 模式 为 加 密 模式 时 ,明文 按照 64 位 进行 分 组 ,形成 明文 组 ,Key 
用 于 对 数据 加 密 s 当 模 式 为 解密 模式 时 ,Key 用 于 对 数据 解密 。 在 实际 运用 中 , 密 钥 只 用 到 
T 64 位 中 的 56 位 ,这 样 才 具有 高 的 安全 性 。 

2. AES 算法 

AES( Advanced Encryption Standard, 高 级 加 密 标准 ) 加 密 算 法 是 下 一 代 的 加 密 算法 标 
YE ,速度 快 , 安 全 级 别 高 。2000 年 10 月 ,NIST( 美 国 国家 标准 和 技术 协会 ) 从 15 种 候选 算 
法 中 选 出 AES 算法 作为 新 的 密 钥 加 密 标 准 。AES 算法 正 日 益 成 为 电子 数据 加 密 的 实际 

ES 


标准 。 

AES 是 一 个 迭代 的 、 对 称 密 钥 分 组 的 密码 , 它 可 以 使 用 128.192 和 256 位 密 钥 ,并 且 用 
128 位 (16B) 分 组 加 密 和 解密 数据 。AES 算法 基于 排列 和 置换 运算 ,该 算法 通过 分 组 密码 
返回 的 加 密 数据 的 位 数 与 输入 数据 相同 的 特点 ,使 用 循环 结构 进行 迭代 加 密 ,在 该 循环 中 重 
复 置换 和 替换 输入 数据 。 

3. ECC 算法 

ECC 算法 又 称 椭圆 曲线 加 密 系统 ,是 目前 已 知 的 所 有 公 钥 密码 体制 中 能 够 提供 最 高 比 
特 强度 的 一 种 公 钥 体制 。 用 椭圆 曲线 来 构造 密码 体制 .用户 可 以 任意 地 选择 安全 的 椭圆 曲 
线 , 在 确定 了 有 限 域 后 ,椭圆 曲线 的 选择 范围 很 大 ;椭圆 曲线 密码 体制 的 男 一 个 优点 是 : 一 
旦 选择 恰当 的 椭圆 曲线 ,就 没有 有 效 的 指数 算法 来 攻击 它 。 


2.1.3 网 络 安 全 应 用 


密码 学 在 网 络 安全 中 的 具体 应 用 主要 包括 以 下 几 种 形式 。 

CD. 用 于 认证 服务 ,使 网 络 上 的 用 户 可 以 相互 证 明 自 己 的 身份 , 即 能 正确 对 信息 进行 解 
密 的 用 户 就 是 合法 用 户 。 用 户 在 对 应 用 服务 器 进行 访问 前 ,必须 从 第 三 方 获 取 该 应 用 服务 
器 的 访问 许可 证 。 

(2) 用 于 提高 电子 邮件 的 安全 性 。 目 前 电子 邮件 广泛 应 用 的 保密 方法 是 PGP (Pretty 
Good Privacy) ,PGP 采用 的 解决 方案 是 给 每 个 公 钥 分 配 一 个 密 钥 标识 ,并 在 很 大 概率 上 与 
用 户 标 识 一 一 对 应 。 发 送 方 需要 使 用 一 个 私 钥 加 密 消息 摘要 ,接收 方 必须 知道 应 使 用 哪个 
公 钥 解密 。 相 应 地 ,消息 的 数字 签名 部 分 必须 包括 公 钥 对 应 的 64 位 密 钥 标识 。 当 接收 到 消 
息 后 ,接收 方 用 密 钥 标识 指示 的 公 钥 验证 签名 。 

密码 技术 并 不 能 解决 所 有 的 网 络 安全 问题 , 它 需 要 与 信息 安全 的 其 他 技术 (如 访问 控制 
技术 网络 监控 技术 等 ) 互 相 融合 ,形成 综合 的 信息 网 络 安全 保障 。 


2.2 防火 墙 技 术 


防火 墙 技 术 是 建立 在 现代 通信 网络 技术 和 信息 安全 技术 基础 上 的 应 用 性 安全 技术 , 越 
来 越 多 地 应 用 于 专用 网 络 与 公用 网 络 的 互联 环境 之 中 。 防 火 墙 本 身 具 有 较 强 的 抗 攻击 能 
力 , 它 是 提供 信息 安全 服务 .实现 网 络 和 信息 安全 的 基础 设施 。 防 火 墙 具 有 如 下 特性 ， 

。 网 络 位 置 特性 : 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 都 必须 经 过 防火 墙 。 

。 工作 原理 特性 : 符合 安全 策略 的 数据 才能 通过 防火 墙 。 

。 先决 条 件 : 防火 墙 自身 应 具有 非常 强 的 抗 攻 击 能 力 。 

常见 防火 墙 的 类 型 主要 有 两 种 : 包 过 滤 防 火 墙 和 代理 防火 墙 。 


2.2.1 防火 墙 的 体系 结构 


防火 墙 的 4 种 基本 体系 结构 是 包 过 滤 路 由 器 防火 墙 . 屏 项 主机 防火 墙 和 屏蔽 子 网 防 
火 墙 。 

1. 包 过 滤 路 由 器 防火 墙 

包 过 滤 路 由 器 是 一 种 便宜 ,简单 .常见 的 防火 墙 。 包 过 滤 路 由 器 在 网 络 之 间 完 成 数据 包 
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转发 的 普通 路 由 功能 ,并 利用 包 过 滤 规 则 来 允许 或 拒绝 数据 包 。 其 结构 如 图 2. 2. 1 所 示 。 

尽管 这 种 防火 墙 系统 有 价格 低 和 易于 使 用 的 优点 ,但 也 有 一 些 缺 点 ,如 配置 不 当 的 路 由 
器 可 能 受到 攻击 ,以 及 利用 数据 包 通过 服务 和 系统 允许 的 操作 进行 攻击 等 。 由 于 人 允许 在 内 
部 和 外 部 系统 之 间 直 接 交 换 数据 包 , 因 此 攻击 面 可 能 会 扩展 到 所 有 主机 和 路 由 器 所 允许 的 
全 部 服务 上 。 另 外 ,如 果 有 一 个 包 过 滤 路 由 器 被 渗透 , 则 内 部 网 络 上 的 所 有 系统 都 可 能 会 受 
到 损害 。 

2. 屏蔽 主机 防火 墙 

屏蔽 主机 防火 墙 系统 采用 了 包 过 滤 路 由 器 和 堡垒 主 机 ,其 结构 如 图 2. 2. 2 所 示 。 这 种 
防火 墙 系统 提供 的 安全 等 级 比 包 过 滤 路 由 器 要 高 , 它 实现 了 网 络 层 安全 ( 包 过 滤 ) 和 应 用 层 
安全 (代理 服务 ) ,所 以 人 侵 者 在 破坏 内 部 网 络 的 安全 性 之 前 ,必须 首先 渗透 两 种 不 同 的 安全 
系统 。 


工作 站 工作 站 
内 部 网 站 内 部 网 站 
服务 器 服务 器 
221 包 过 滤 路 由 器 防火 墙 图 222 屏蔽 主机 防火 墙 (MRS ER) 


在 这 种 防火 墙 系统 中 ,堡垒 主机 配置 在 内 部 网 络 上 ,而 包 过 滤 路 由 器 则 放置 在 内 部 网 络 
和 外 部 网 络 之 间 。 在 路 由 器 上 进行 规则 配置 ,使 得 外 部 系统 只 能 访问 堡垒 主机 ,去 往 内 部 系 
统 上 其 他 主机 的 信息 全 部 被 阻塞 。 由 于 内 部 主机 与 堡垒 主机 处 于 同一 个 网 络 ,内 部 系统 是 
允许 直接 访问 外 部 网 络 还 是 要 求 使 用 堡垒 主机 上 的 代理 服务 来 访问 外 部 网 络 ,全 部 由 安全 
策略 来 决定 。 对 路 由 融 的 过 滤 规 则 进行 配 
置 ,使 其 只 接收 来 自 堡 又 主机 的 内 部 数据 包 ， 
并 强制 内 部 用 户 使 用 代理 服务 。 


工作 站 
用 双 宿 堡垒 主机 可 以 构造 更 加 安全 的 防 
火 墙 系统 ,如 图 2. 2. 3 所 示 。 这 种 物理 结构 Aim 
强行 所 有 去 往 内 部 网 络 的 信息 经 过 堡垒 主 服务 器 


机 ,由 于 堡垒 主机 是 唯一 能 从 外 部 网 络 直接 
访问 的 内 部 系统 ,因此 有 可 能 受到 攻击 的 主 
机 就 具有 堡垒 主机 本 身 。 但 是 ,如 果 人 允许 用 户 注册 到 堡垒 主机 ,那么 整个 内 部 网 络 上 的 主机 
都 会 受到 攻击 的 威胁 。 牢 固 可 靠 .避免 被 渗透 和 不 允许 用 户 注册 对 堡垒 主机 来 说 是 至 关 重 
要 的 。 

3. 屏蔽 子 网 防火 墙 

屏蔽 子 网 防火 墙 采用 两 个 包 过 滤 路 由 器 和 一 个 堡垒 主机 ,如 图 2. 2.4 所 示 。 这 个 防火 
墙 系统 是 最 安全 的 防火 墙 系统 ,因为 在 定义 了 “ 非 军事 区 ”(DMZ) 网 络 后 , 它 支 持 网 络 层 和 
应 用 层 安 全 功能 。 网 络 管理 员 将 堡垒 主机 、 信 息 服 务 器 .Modem 池 以 及 其 他 公用 服务 器 放 
在 DMZ 网 络 中 。 通 过 DMZ 网 络 直接 进行 信息 传输 是 严格 禁止 的 。 


图 223 屏蔽 主机 防火 墙 ( 双 宿 堡 公主 机 ) 
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224 屏蔽 子 网 防火 


外 部 路 由 器 用 于 防范 通常 的 外 部 攻击 (如 源 地 址 欺骗 和 源 路 由 攻击 ) ,并 管理 外 部 网 络 
到 DMZ 网 络 的 访问 。 它 只 允许 外 部 系统 访问 堡垒 主机 。 内 部 路 由 器 则 提供 第 二 层 防御 ， 
只 接收 来 自 堡垒 主机 的 数据 包 , 负 责 管理 DMZ 到 内 部 网 络 的 访问 。 

部 署 屏蔽 子 网 防火 墙 系统 有 如 下 的 好 处 : 入 侵 者 必须 突破 3 个 不 同 的 设备 才能 侵袭 内 
部 网 络 : 外 部 路 由 器 .堡垒 主机 以 及 内 部 路 由 器 。 由 于 外 部 路 由 器 只 能 向 外 部 网 络 通告 
DMZ 网 络 的 存在 ,这 样 网 络 管理 员 就 可 以 保证 内 部 网 络 是 “不 可 见 ” 的 ;由 于 内 部 路 由 器 只 
向 内 部 网 络 通告 DMZ 网 络 的 存在 ,内 部 网 络 上 的 系统 不 能 直接 通 往外 部 网 络 , 这 样 就 保证 
了 内 部 网 络 上 的 用 户 必 须 通 过 驻 留 在 堡垒 主机 上 的 代理 服务 才能 访问 外 部 网 络 。 


2.2.2 包 过 滤 防 火 墙 


包 过 滤 防 火 墙 工 作 在 OSI 参考 模型 的 网 络 层 和 传输 层 , 它 根据 数据 包头 的 源 地 址 、 目 
的 地 址 、 端 口号 和 协议 类 型 等 标志 确定 数据 流 是 否 允 许 通过 ,如 图 2.2.5 所 示 。 


图 225 包 过 滤 防火 墙 的 结构 


包 过 滤 是 一 种 网 络 安全 保护 机 制 , 用 来 控制 进出 网 络 的 数据 流 。 通 过 控制 存在 于 某 一 
网 段 的 数据 流 类 型 , 包 过 滤 技 术 可 以 限定 存在 于 某 一 网 段 的 服务 内 容 。 不 符合 网 络 安全 的 
服务 将 被 严格 限制 。 基 于 包 中 的 协议 类 型 和 字段 值 , 过 滤 路 由 器 能 够 区 分 数据 流量 。 

包 过 滤 技 术 的 优点 : 

。 一 个 独立 的 .网络 位 置 适 当 的 包 过 滤 路 由 器 有 助 于 保护 整个 网 络 。 如 果 仅 有 一 个 路 

由 器 连接 内 部 与 外 部 网 络 ,不 论 内 部 网 络 大 小 以 及 拓扑 结构 如 何 , 通 过 单个 路 由 器 
进行 数据 包 过 滤 ,在 网 络 安全 保护 上 都 会 取得 较 好 的 效果 。 

。 数据 包 过 滤 对 用 户 透明 。 不 同 于 代理 技术 ,数据 包 过 滤 不 要 求 任 何 自 定义 配置 ,也 

不 要 求 用 户 进行 任何 特殊 学 习 。 较 强 的 “透明 度 ? 是 包 过 滤 技 术 的 一 大 优势 。 
。 过 滤 速 度 快 , 效 率 高 。 较 代理 技术 而 言 , 包 过 滤 技术 只 检查 报头 的 相应 字段 ,一 般 不 
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查看 数据 包 的 内 容 , 且 该 技术 的 核心 部 分 是 由 硬件 实现 的 , 故 转发 速度 快 , 效 率 高 。 
包 过 滤 技 术 的 缺点 : 
。 不 能 彻底 防止 地 址 欺骗 。 大 多 数 包 过 滤 技 术 都 是 基于 源 IP 地 址 、 目 的 IP 地 址 而 进 
行 过 滤 的 。 而 IP 地 址 的 伪造 是 很 容易 ,很 普遍 的 ,即使 按 MAC 地 址 进行 绑 定 ,也 
是 不 可 信 的 。 对 于 一 些 安全 性 要 求 较 高 的 网 络 , 包 过 滤 技 术 无 法 满足 要 求 。 
部 分 应 用 协议 不 适合 于 数据 包 过 滤 。RPC、X-Window 和 FTP 等 应 用 协议 无 法 适用 
于 包 过 滤 技 术 。 服 务 代理 和 HTTP 链接 也 会 削弱 基于 源 地 址 和 源 端口 的 过 滤 功 能 。 
数据 包 过 滤 技 术 无 法 执行 某 些 安全 策略 。 该 技术 所 提供 的 信息 不 能 完全 满足 人 们 
对 安全 策略 的 需求 ,不 能 强行 限制 特殊 的 用 户 。 同 样 地 , 当 通过 端口 号 对 高 级 协议 
强行 进行 限制 时 ,恶意 的 知情 者 能 够 很 容易 地 破坏 这 种 控制 。 

从 以 上 分 析 可 以 看 出 , 包 过 滤 防 火 墙 技术 虽然 能 确保 一 定 的 安全 性 ,但 是 作为 第 一 代 防 
火 墙 技术 ,其 本 身 存在 较 多 缺陷 ,不 能 提供 较 高 的 安全 性 。 在 实际 应 用 中 ,很 少 把 包 过 滤 技 
术 当 作 单 独 的 安全 解决 方案 ,通常 把 它 与 其 他 防火 墙 技术 捆绑 使 用 。 


2.2.3 代理 防火 墙 


代理 防火 墙 是 一 种 较 新 型 的 防火 墙 技 术 , 其 特点 是 完全 “阻隔 ”了 网 络 数据 流 ,通过 对 每 
种 应 用 服务 编制 专门 的 代理 程序 ,实现 监视 和 控制 应 用 层 数据 流 的 功能 。 它 分 为 应 用 层 网 
关 和 电路 层 网 关 。 

代理 防火 墙 工 作 于 应 用 层 , 且 针对 特定 的 应 用 层 协议 。 代 理 防 火 墙 通过 软件 方式 获取 
应 用 层 通 信 流 量 , 并 在 用 户 层 和 应 用 层 提 供 访问 控制 ,保持 所 有 应 用 程序 的 使 用 记录 。 记 录 
和 控制 所 有 进出 流量 的 能 力 是 应 用 层 网 关 的 主要 优点 之 一 。 

如 图 2.2.6 所 示 , 代 理 服务 器 作为 内 部 网 络 客户 端的 服务 器 拦截 所 有 要 求 ,也 向 客户 端 
转发 响应 。 代 理 客户 (proxy client) 负 责 代表 内 部 客户 端 向 外 部 服务 器 发 出 请 求 ,当然 也 向 
代理 服务 器 转发 响应 。 当 某 用 户 和 一 个 运行 代理 的 网 络 建立 联系 时 ,应 用 层 网 关 会 阻塞 这 
个 连接 ,然后 对 连接 请 求 的 各 个 域 进行 检查 。 如 果 此 连接 请 求 符合 预定 的 安全 策略 或 规则 ， 
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真实 的 客户 端 


图 226 应 用 层 网 关 代理 技术 
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代理 防火 墙 便 会 在 用 户 和 服务 器 之 间 建 立 一 个 “ 桥 ”, 从 而 保证 其 通信 。 对 不 符合 预定 的 安 
全 规则 的 , 则 阻塞 或 抛弃 。 

另 一 种 类 型 的 代理 技术 称 为 电路 层 网 关 (circuit gateway) 。 在 电路 层 网 关中 , 包 被 提交 
至 用 户 应 用 层 处 理 。 电 路 层 网 关 用 来 在 两 个 通信 端 之 间 转 换 包 ,如 图 2. 2.7 所 示 。 
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服务 器 一 一 一 一 一 一 一 客户 机 


图 227 电路 层 网 关 代理 技术 


电路 层 网 关 是 建立 应 用 层 网 关 的 一 个 更 加 灵活 的 方法 。 在 电路 层 网 关中 ,特殊 的 客户 
机 软件 可 能 要 安装 ,用 户 需要 一 个 用 户 接口 来 相互 作用 。 
代理 防火 墙 技术 的 优点 : 


代理 易于 配置 。 由 于 是 软件 ,所 以 代理 较 过 滤 路 由 器 更 易 配 置 。 如 果 代 理 实现 得 
好 , 则 对 配置 协议 的 要 求 可 以 低 一 些 , 从 而 避免 配置 错误 。 

代理 能 生成 各 项 记录 。 代 理工 作 在 应 用 层 , 它 检查 各 项 数据 ,所 以 可 以 生成 各 项 日 
志和 记录 。 这 些 日 志和 记录 对 于 流量 分 析 和 安全 检验 是 十 分 重要 的 。 

代理 能 灵活 地 控制 进出 流量 。 通 过 采取 一 定 的 措施 ,按照 一 定 的 规则 ,可 以 借助 代 
理 实现 一 整套 的 安全 策略 。 

代理 能 过 滤 数 据 内 容 。 可 以 把 一 些 过 滤 规 则 应 用 于 代理 ,让 它 实现 文本 过 滤 、 图 像 
过 滤 、 预 防 病毒 或 扫描 病毒 等 功能 。 

代理 能 为 用 户 提供 透明 的 加 密 机 制 。 代 理 能 够 完成 加 解密 的 功能 ,从 而 确保 数据 的 
机 密 性 ,这 点 在 虚拟 专用 网 中 特别 重要 。 

代理 可 以 方便 地 与 其 他 安全 手段 集成 。 目 前 的 安全 问题 解决 方案 很 多 ,如 认证 
(authentication) 、 授 权 (authorization) , IK = (accounting) , 数据 加 密 、 安 全 协议 
(SSL) 等 。 如 果 联 合 使 用 代理 与 这 些 手段 ,将 大 大 提高 网 络 安全 性 。 


代理 技术 的 缺点 : 


。 代理 速度 较 路 由 器 慢 。 路 由 器 只 是 简单 检查 TCP/IP 报头 特定 的 几 个 域 ,不 做 详细 
分 析 、 记 录 。 而 代理 工作 于 应 用 层 ,要 检查 数据 包 的 内 容 , 按 特定 的 应 用 协议 (如 
HTTP) 审 查 和 扫描 数据 包 内 容 ,进行 代理 (转发 请 求 或 响应 ) ,速度 较 慢 。 


。 代理 对 用 户 不 透明 。 许 多 代理 要 求 用 户 安装 特定 客户 端 软 件 , 这 给 用 户 增 加 了 不 透 


明度 。 安 装 和 配置 特定 的 应 用 程序 既 耗 费时 间 ,又 容易 出 错 。 
代理 服务 不 能 保证 免 受 所 有 协议 弱点 的 限制 。 作 为 一 个 安全 问题 的 解决 方法 ,代理 
取决 于 对 协议 中 哪些 是 安全 操作 的 判断 能 力 。 每 个 应 用 层 协 议 ,都 或 多 或 少 存在 一 
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些 安全 问题 ,对 于 一 个 代理 服务 器 来 说 ,要 彻底 避免 这 些 安全 隐患 几乎 是 不 可 能 的 ， 
除非 关 掉 这 些 服务 。 

代理 不 能 改进 底层 协议 的 安全 性 。 因 为 代理 工作 在 TCP/IP 之 上 ,属于 应 用 层 , 所 
以 它 不 能 改善 底层 通信 协议 的 能 力 。 如 IP 欺骗 .SYN 泛滥 、 伪 造 ICMP 消息 和 一 
些 拒绝 服务 攻击 。 而 这 些 方面 ,对 于 网 络 的 健壮 性 是 相当 重要 的 。 


2.3 入 侵 检 测 


据 统计 ,全 球 80% 以 上 的 入 侵 来 自 网 络 内 部 。 由 于 性 能 的 限制 ,防火 墙 通常 不 能 提供 
实时 的 入 侵 检 测 能 力 , 对 于 来 自 内 部 网 络 的 攻击 ,防火 墙 形 同 虚 设 。 入 侵 检测 是 对 防火 墙 极 
其 有 益 的 补充 。 入 侵 检测 系统 能 在 和 人 侵 攻击 对 系统 发 生 危 害 前 检测 到 入 侵 攻击 ,并 利用 报 
警 与 防护 系统 驱逐 入 侵 攻击 。 在 入 侵 攻击 过 程 中 ,能 减少 入 侵 攻 击 所 造成 的 损失 。 在 被 入 
侵 攻 击 后 ,收集 入 侵 攻击 的 相关 信息 ,作为 防范 系统 的 知识 添加 到 知识 库 内 ,增强 系统 的 防 
范 能 力 ,避免 系统 再 次 受到 入 侵 。 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进行 监听 ,从 而 提供 对 
内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 保护 ,大 大 提高 了 网 络 的 安全 性 。 


2.3.1 入 侵 检 测 技术 分 类 


入 侵 检测 是 从 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 搜集 信息 并 对 其 进行 分 析 , 从 
中 发 现 网 络 或 系统 中 是 否 存在 违反 安全 策略 的 行为 和 唱 到 袭击 的 迹象 的 一 种 机 制 。 入 侵 检 
测 系统 使 用 入 侵 检测 技术 对 网 络 与 系统 进行 监视 ,并 根据 监视 结果 采取 不 同 的 安全 动作 ,从 
而 最 大 限度 地 降低 可 能 的 入侵 危害 。 经 过 几 年 的 发 展 , 入 侵 检 测 产品 开始 步 人 快速 成 长 期 。 


2.3.1.1 基于 网 络 的 人 侵 检 测 


基于 网 络 的 入 侵 检 测 产品 (NIDS) 放 置 在 比较 重要 的 网 段 内 ,不 停 地 监视 网 段 中 的 各 种 
数据 包 , 对 数据 包 进 行 特征 分 析 。 如 果 数 据 包 与 内 置 的 某 些 规则 吻合 ,和 人 侵 检测 系统 就 会 发 
出 警报 甚至 直接 切断 网 络 连 接 。 目 前 ,大 部 分 人 侵 检测 产品 是 基于 网 络 的 。 值 得 一 提 的 是 ， 
在 网 络 入 侵 检测 系统 中 ,有 多 个 久负盛名 的 开放 源码 软件 ,它们 是 Snort, NFR, Shadow 等 。 

网 络 入侵 检测 系统 的 优点 如 下 : 

。 网 络 入 侵 检测 系统 能 够 检测 来 自 网 络 的 攻击 ,特别 是 越权 的 非法 访问 。 

。 不 需要 改变 服务 器 等 主机 的 配置 ,不 占用 过 多 的 系统 资源 ,不 影响 业务 系统 的 性 能 。 

。 发 生 故 障 不 会 影响 正常 业务 的 运行 ,部署 一 个 网 络 入 侵 检测 系统 的 风险 比 主机 入 侵 

检测 系统 的 风险 小 得 多 。 

网 络 入 侵 检测 系统 的 缺点 如 下 : 

。 网 络 和 人 侵 检测 系统 只 检查 直接 连接 网 段 的 通信 ,不 能 检测 在 不 同 网 段 的 网 络 包 。 在 
使 用 交换 以 太 网 的 环境 中 会 出 现 检 测 范围 的 局 限 。 而 安装 多 台 网 络 人 侵 检测 系统 
的 传感器 会 使 部 署 整个 系统 的 成 本 大 大 增加 。 

网 络 入 侵 检 测 系 统 为 了 性 能 目标 通常 采用 特征 检测 的 方法 , 它 可 以 检测 出 一 些 普 通 

的 攻击 ,而 很 难 实现 一 些 复杂 的 需要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 

网 络 入侵 检测 系统 可 能 会 将 大 量 的 数据 传 回 分 析 系 统 中 。 在 一 些 系 统 中 监听 特定 
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的 数据 包 会 产生 大 量 的 分 析 数 据 流 量 。 这 样 的 系统 中 的 传感器 协同 工作 能 力 较 弱 。 
。 网 络 和 人 侵 检测 系统 处 理 加 密 的 会 话 过 程 较 困 难 , 目前 通过 加 密 通 道 的 攻击 尚 不 多 ， 
但 随 着 IPv6 的 普及 ,这 个 问题 会 越 来 越 突 出 。 


2.3.1.2 基于 主机 的 人 侵 检 测 


基于 主机 的 人 侵 检 测 产品 (HIDS) 通 常 是 安装 在 被 重点 监测 的 主机 上 ,对 该 主机 的 网 络 
连接 以 及 系统 审计 日 志 进 行 智能 分 析 和 判断 。 如 果 其 中 主体 活动 十 分 可 疑 ,入 侵 检 测 系统 
就 会 采取 相应 措施 。 
主机 入 侵 检测 系统 的 优点 如 下 : 
* 主机 入 侵 检 测 系 统 与 网 络 入 侵 检测 系统 相 比 通常 能 够 提供 更 详尽 的 相关 信息 。 
。 主机 入 侵 检 测 系统 通常 情况 下 比 网 络 人 侵 检 测 系 统 误 报 率 要 低 , 因 为 检测 主机 上 运 
行 的 命令 序列 比 检测 网 络 流 更 简单 ,系统 的 复杂 性 也 低 得 多 。 
主机 入 侵 检 测 系统 的 弱点 如 下 : 
。 主机 入 侵 检测 系统 安装 在 需要 保护 的 设备 上 ,会 降低 应 用 系统 的 效率 。 安 装 主机 入 
侵 检测 系统 后 ,将 本 不 允许 安全 管理 员 访 问 的 服务 器 变 成 可 以 访问 的 了 。 
主机 入 侵 检测 系统 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 如 果 服 务 器 没有 配置 日 
志 功 能 , 则 必须 重新 配置 ,这 将 会 给 运行 中 的 业务 系统 带 来 不 可 预见 的 性 能 影响 。 
全 面部 署 主机 入 侵 检测 系统 代价 较 大 ， 只 能 选择 部 分 主机 保护 。 那 些 未 安装 主机 和 
侵 检 测 系统 的 机 器 将 成 为 保护 的 盲点 ,入 侵 者 可 利用 这 些 机 器 达到 攻击 目标 。 
主机 入 侵 检测 系统 除了 检测 自身 的 主机 以 外 ,根本 不 检测 网 络 上 的 情况 。 对 入 侵 行 
为 的 分 析 的 工作 量 将 随 着 主机 数目 增加 而 增加 。 


2.3.1.3 混合 人 侵 检测 


基于 网 络 的 入 侵 检测 产品 和 基于 主机 的 入 侵 检测 产品 都 有 不 足 之 处 ,单纯 使 用 一 类 产 
品 会 造成 主动 防御 体系 不 全 面 。 但 是 ,它们 的 缺陷 是 可 以 互补 的 。 综 合 基于 网 络 和 基于 主 
栅 两 种 结构 特点 的 入侵 检测 系统 , 既 可 发 现 网 络 中 的 攻击 信息 ,也 可 从 系统 日 志 中 发 现 异常 
情况 ,构成 一 套 完整 立体 的 主动 防御 体系 , 称 为 混合 人 侵 检测 方法 。 


2.3.1.4 文件 完整 性 检查 


文件 完整 性 检查 系统 检查 计算 机 中 文件 的 变化 情况 。 文 件 完整 性 检查 系统 保存 有 每 个 
文件 的 数字 文摘 数据 库 ,每 次 检查 时 , 它 重新 计算 文件 的 数字 文摘 并 将 它 与 数据 库 中 的 值 相 
比较 ,如 不 同 , 则 文件 已 被 修改 ;车 相同 , 则 文件 未 发 生变 化 。 

文件 完整 性 检查 系统 的 优点 如 下 : 

。 从 数学 上 分 析 , 攻 克文 件 完整 性 检查 系统 ,无 论 是 时 间 上 还 是 空间 上 都 是 不 可 能 的 。 

文件 完整 性 检查 系统 是 检测 系统 是 否 被 非法 使 用 的 重要 工具 之 一 。 

。 文件 完整 性 检查 系统 具有 相当 的 灵活 性 ,可 以 配置 成 为 监测 系统 中 的 所 有 文件 或 某 

些 重要 文件 。 
文件 完整 性 检查 系统 的 弱点 如 下 : 
。 文件 完整 性 检查 系统 依赖 于 本 地 的 文摘 数据 库 。 与 日 志文 件 一 样 ,这 些 数据 可 能 被 
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入 侵 者 修改 。 

。 做 完整 的 文件 完整 性 检查 是 非常 耗 时 的 工作 。 

。 系统 有 些 正 常 的 更 新 操作 可 能 会 带 来 大 量 的 文件 更 新 ,从 而 产生 比较 繁杂 的 检查 与 
分 析 工 作 。 


2.3.2 入 侵 检 测 系 统 结构 


入 侵 检 测 系 统 全 称 为 Intrusion Detection System, 1980 年 4 月 ,研究 人 员 在 向 美国 空 
军 提交 的 一 份 题 为 (计算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 中 ,第 一 次 完整 地 介绍 了 入 侵 
检测 技术 的 概念 。 报 告 认 为 ,这 是 一 种 对 计算 机 系统 风险 和 威胁 的 分 类 方法 ,并 将 威胁 分 为 


外 部 渗透 、 内 部 渗透 和 不 法 行为 3 种 ,还 提出 了 利用 审计 跟踪 数据 监视 入 侵 活动 的 核心 
思想 。 


2.3.2.1 人 侵 检 测 系统 结 构 


入 侵 检 测 产品 通常 由 两 部 分 组 成 : 传感器 (sensor) 5 zil & (console), fz JB s f vole 
集 数据 (网 络 包 .系统 日 志 等 ) .分析 数 据 并 生成 安全 事件 。 控 制 台 主 要 起 中 央 管 理 的 作用 ， 
商品 化 的 产品 通常 提供 图 形 界面 的 控制 台 , 这 些 控制 台 基 本 上 都 支持 Windows NT 平台 。 
入 侵 检测 系统 采用 的 技术 主要 包括 特征 检测 和 异常 检测 两 类 。 

特征 检测 (Signature-based Detection) 。 该 类 技术 将 入 侵 活动 定义 为 一 种 模式 ,入 侵 检 
测 过 程 则 是 寻找 与 人 侵 行 为 相 匹 配 的 各 种 模式 。 该 类 技术 能 够 很 准确 地 将 已 有 的 入 侵 行 为 
检测 出 来 ;但 由 于 缺乏 相 匹 配 的 模式 , 故 无 法 检测 到 新 的 入 侵 行为 。 特 征 检 测 方式 与 计算 机 
病毒 扫描 技术 相 类 似 ,核心 问题 在 于 如 何 设计 模式 , 尽 可 能 地 将 各 种 非法 活动 圳 括 进 来 。 

异常 检测 (Abnormally Detection) 。 首 先 ,检测 系统 预先 定义 出 一 组 正常 运行 的 环境 变 
量 ,主要 包括 CPU 运行 情况 、 内 存 利 用 率 和 网 络 平均 流量 等 ,这 些 环境 信息 可 以 人 为 地 根 
据 经 验 知识 定义 ,也 可 以 采用 统计 方法 根据 系统 日 常 运行 情况 得 出 。 当 入 侵 检测 系统 在 检 
测 过 程 中 发 现 运行 数据 与 预先 定义 环境 参数 差异 较 大 时 ,系统 就 会 认定 存在 入 侵 情 况 ,并 进 
一 步 进行 检查 。 这 类 技术 的 核心 问题 是 如 何 准确 地 定义 系统 正常 的 环境 变量 。 


2.3.2.2 和 常用 人 侵 检测 方法 


据 公安 部 计算 机 信息 系统 安全 产品 质量 监督 检验 中 心 的 报告 ,国内 送 检 的 和 人 侵 检测 产 
品 中 95% 是 属于 使 用 入 侵 模板 进行 模式 匹配 的 特征 检测 产品 ,少量 是 采用 概率 统计 的 统计 
检测 产品 与 基于 日 志 的 专家 知识 库 系 统 产 品 。 入 侵 检 测 系 统 常用 的 检测 方法 有 特征 检测 、 
统计 检测 与 专家 系统 。 
1. 特征 检测 
特征 检测 是 对 已 知 的 攻击 或 入 侵 的 方式 作出 确定 性 的 描述 ,形成 相应 的 事件 模式 。 当 
被 审计 的 事件 与 已 知 的 入 侵 事 件 模式 相 匹 配 时 即 报警 。 该 方法 预报 检测 的 准确 率 较 高 ,但 
对 于 无 经 验 知识 的 入 侵 与 攻击 行为 无 能 为 力 。 
2. 统计 检测 
在 统计 模型 中 常用 的 测量 参数 包括 审计 事件 的 数量 、 间 隔 时 间 、 资 源 消耗 情况 等 。 常 用 
的 入 侵 检测 包括 5 种 统计 模型 : 
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CD 操作 模型 。 该 模型 假设 异常 可 通过 测量 结果 与 一 些 固定 指 标 相 比较 得 到 ,固定 指 
标 可 以 根据 经 验 值 或 一 段 时 间 内 的 统计 平均 得 到 。 

D 方差 。 计 算 参 数 的 方差 , 设 定 其 置信 区 间 , 当 测 量 值 超过 置信 区 间 的 范围 时 表明 有 
可 能 是 异常 。 

(3) 多 元 模型 。 操 作 模 型 的 扩展 ,通过 同时 分 析 多 个 参数 实现 检测 。 

(4) 马尔 可 夫 过 程 模型 。 将 每 种 类 型 的 事件 定义 为 系统 状态 ,用 状态 转移 矩阵 来 表示 
状态 的 变化 ,该 状态 矩阵 转移 的 概率 较 小 则 可 能 是 异常 事件 。 

C5) 时 间 序 列 分 析 。 将 事件 计数 与 资源 消耗 按时 间 排 成 序列 ,如 果 一 个 新 事件 在 该 时 
间 发 生 的 概率 较 低 , 则 该 事件 可 能 是 入 侵 。 

3. 专家 系统 

用 专家 系统 对 人 侵 进 行 检测 ,经 常 是 针对 特征 检测 人 侵 行 为 。 专 家 系统 的 建立 依赖 于 
知识 库 的 完备 性 ,知识 库 的 完备 性 又 取决 于 审计 记录 的 完备 性 与 实时 性 。 入 侵 的 特征 抽取 
与 表达 是 入 侵 检测 专家 系统 的 关键 。 专 家 系统 防范 的 有 效 性 完全 取决 于 专家 系统 知识 库 的 
完备 性 。 


2.3.3 重要 的 入 侵 检 测 系统 


以 下 是 几 种 针对 不 同 的 检测 对 象 的 重要 的 入 侵 检测 系统 。 

(1) 系统 完整 性 检测 (System Integrity Verifiers,SIV) ,主要 用 于 检测 系统 文件 或 注册 
表 等 重要 位 置信 息 是 否 被 算 改 ,防止 入 侵 者 在 和 人 侵 过 程 中 留 下 系统 的 后 门 。 该 类 系统 的 工 
有 具 软件 较 多 ,如 Tripwire, 它 可 以 检测 到 重要 系统 组 件 的 变动 ,但 不 产生 实时 报警 信息 。 

(2) 网 络 入 侵 检测 系统 (Network Intrusion Detection System, NIDS) ,主要 用 于 检测 黑 
客 或 骇 客 通过 网 络 进行 的 各 类 入 侵 行 为 。NIDS 的 运用 方式 有 两 种 , 即 在 目标 主机 上 以 监 
测 通信 信息 为 主 的 检测 模式 和 在 独立 机 器 上 以 监测 网 络 设备 运行 为 目标 的 单机 模式 。 

(3) 日 志文 件 监测 器 (Log File Monitors. LFM) ,主要 用 于 监测 网 络 日 志文 件 内 容 , 这 
是 一 种 特征 检测 技术 的 典型 应 用 。LFM 通过 将 日 志文 件 内 容 与 关键 字 不 断 匹配 来 获取 和 
侵 行 为 的 存在 。 例 如 ,对 于 HTTP 服务 器 的 日 志文 件 ,只 要 匹配 swatch 关键 字 ,就 能 够 检 
测 到 是 否 存 在 PHF 攻击 。 

(4) 虚拟 蜜 网 ,也 称 为 蜜 饶 系统 (Honeypots) , 它 是 一 个 包含 若干 漏洞 的 诱骗 系统 。 它 
通过 模拟 一 个 或 多 个 易 受 到 攻击 的 主机 ,为 攻击 者 创造 一 个 极 易 入 侵 的 目标 。 由 于 每 个 蜜 
钠 并 无 任何 实际 的 运行 活动 , 故 任何 接 入 都 被 认为 是 可 以 的 。 虚 拟 蜜 网 最 大 的 优势 在 于 它 
为 真实 的 主机 赢得 了 防范 入 侵 的 时 间 , 延 迟 了 攻击 者 对 真实 目标 的 攻击 ;同时 ,诱捕 系统 能 
够 不 断 获得 攻击 者 的 入侵 行为 ,为 真实 目标 制定 有 效 的 防护 策略 提供 依据 。 


2.3.4 入 侵 检测 技术 的 发 展 方向 
2.3.4.1 人 侵 技 术 的 发 展 变化 


入 侵 技术 的 发 展 与 演化 主要 反映 在 下 列 几 个 方面 : 
(1) 入 侵 或 攻击 的 综合 化 与 复杂 化 。 由 于 网 络 防范 技术 的 多 重 化 ,攻击 的 难度 增加 ,使 
得 入 侵 者 在 实施 入侵 或 攻击 时 往往 同时 采取 多 种 入 侵 手段 ,以 保证 入 侵 的 成 功率 ,并 可 在 攻 
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击 实施 的 初期 掩盖 攻击 或 入 侵 的 真实 目的 。 

(2) 入 侵 主体 对 象 的 间接 化 , 即 实 施 入 侵 与 攻击 的 主体 的 隐蔽 化 。 通 过 一 定 的 技术 ,可 
掩盖 攻击 主体 的 源 地 址 及 主机 位 置 。 使 用 了 隐蔽 技术 后 ,对 于 被 攻击 对 象 攻击 的 主体 是 无 
法 直接 确定 的 。 

(3) 入 侵 或 攻击 的 规模 扩大 。 由 于 战争 对 电子 技术 与 网 络 技术 的 依赖 性 越 来 越 大 , 随 
之 产生 ,发 展 并 逐步 升级 到 电子 战 与 信息 战 。 对 于 信息 战 ,无 论 其 规模 与 技术 都 与 一 般 意 义 
上 的 计算 机 网 络 的 入 侵 与 攻击 不 可 相提并论 。 国 家 主干 通信 网 络 的 安全 是 与 主权 国家 领土 
安全 居于 同等 地 位 的 大 事 。 

(D 入 侵 或 攻击 技术 的 分 布 化。 常见 的 入 侵 与 攻击 行为 往往 由 单机 执行 。 由 于 防范 技 
术 的 发 展 使 得 此 类 行为 不 能 奏效 ,所 谓 分 布 式 拒绝 服务 (DDoS) 在 很 短 时 间 内 可 造成 被 攻击 
主机 的 瘫痪 。 此 类 分 布 式 攻击 的 信息 模式 与 正常 通信 无 差异 ,往往 在 攻击 发 动 的 初期 不 易 
被 确认 。 分 布 式 攻 击 是 近期 最 常用 的 攻击 手段 。 

(5) 攻击 对 象 的 转移 。 和 侵 与 攻击 常 以 网 络 为 侵犯 的 主体 ,但 近来 的 攻击 行为 却 发 生 
了 策略 性 的 改变 ,由 攻击 网 络 改 为 攻击 网 络 的 防护 系统 。 现 已 有 专门 针对 IDS 作 攻 击 的 报 
道 。 攻 击 者 详细 地 分 析 了 IDS 的 审计 方式 、 特 征 描述 和 通信 模式 ,并 针对 IDS 的 弱点 加 以 
攻击 。 


2.3.4.2 人 侵 检 测 技术 的 发 展 方向 


入 侵 检测 技术 的 未 来 发 展 方向 包括 以 下 几 个 方面 : 

(1) 分 布 式 人 侵 检测 。 一 方面 是 指针 对 分 布 式 网 络 攻击 的 检测 方法 ; 另 一 方面 是 指使 
用 分 布 式 的 方法 来 检测 网 络 攻击 ,涉及 的 关键 技术 为 检测 协同 机 制 与 人 侵 攻 击 的 全 局 信息 
提取 。 

(2) 智能 化 人 侵 检测 ,即使 用 智能 化 的 方法 与 手段 来 进行 人 侵 检 测 。 现 阶段 常用 的 智 
能 算法 有 神经 网 络 .遗传 算法 .模糊 技术 和 免疫 原理 等 方法 ,这 些 方法 常用 于 入 侵 特征 的 辩 
识 与 泛 化 。 利 用 专家 系统 的 思想 来 构建 人 侵 检 测 系统 也 是 常用 的 方法 之 一 。 

(3) 全 面 的 安全 防御 方案 ,即使 用 安全 工程 风险 管理 的 思想 与 方法 来 处 理 网 络 安全 问 
题 ,将 网 络 安全 作为 一 个 整体 工程 来 处 理 。 从 管理 网络 结 构 . 加 密 通 道 、. 防 火 墙 、. 病 毒 防 护 
和 入 侵 检测 多 方位 对 所 关注 的 网 络 作 出 评估 ,并 提出 可 行 的 全 面 解决 方案 。 


2.4 计算 机 病毒 学 


2.4.1 计算 机 病毒 定义 


计算 机 病毒 (computer virus) 在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 被 
明确 定义 为 “编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 
用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

计算 机 病毒 往往 会 利用 计算 机 操作 系统 的 弱点 进行 传播 。 提 高 系统 的 安全 性 是 防 病毒 
的 一 个 重要 方面 ,但 过 于 强调 提高 系统 的 安全 性 将 使 系统 多 数 时 间 用 于 病毒 检查 ,使 系统 失 
去 了 可 用 性 、 实 用 性 和 易 用 性 ; 另 一 方面 ,信息 保密 的 要 求 让 人 们 在 泄密 和 防 病毒 之 间 无 法 
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选择 。 病 毒 与 反 病毒 将 作为 一 类 对 抗 技术 长 期 存在 ,两 种 技术 都 将 随 计 算 机 技术 的 发 展 而 
得 到 长 期 的 发 展 。 

首先 ,应 该 明确 病毒 不 是 来 源 于 突 发 或 偶然 的 原因 。 一 次 突 发 的 停电 和 偶然 的 错误 ,会 
在 计算 机 的 磁盘 和 内 存 中 产生 一 些 乱码 和 随机 指令 ,但 这 些 代码 是 无 序 和 混乱 的 。 病 毒 则 
是 一 种 精巧 严谨 的 代码 ,按照 严格 的 秩序 组 织 起 来 ,与 所 在 的 系统 网 络 环境 相 适 应 和 配合 起 
来 ,病毒 不 会 偶然 形成 ,而 是 需要 有 一 定 的 长 度 ,这 个 基本 的 长 度 从 概率 上 来 讲 是 不 可 能 通 
过 随机 代码 产生 的 。 现 在 流行 的 病毒 都 是 人 为 故意 编写 的 ,多 数 病 毒 可 以 找到 作者 和 产地 
信息 ,从 大 量 的 统计 分 析 来 看 ,病毒 作者 的 主要 情况 和 目的 是 : 一 些 天 才 的 程序 员 为 了 表现 
自己 和 证 明 自 己 的 能 力 , 出 于 对 上 司 的 不 满 ,为 了 好 奇 , 为 了 报复 ,为 了 祝贺 和 求爱 ,为 了 得 
到 控制 口令 等 。 当 然 也 有 政治 、 军 事 、 宗 教 . 民 族 等 方面 的 需求 而 专门 编写 的 ,其 中 也 包括 一 
些 病毒 研究 机 构 和 黑客 的 测试 病毒 。 


2.4.1.1 病毒 特征 


计算 机 病毒 具有 以 下 几 个 特点 。 

(1) 寄生 性 : 计算 机 病毒 寄生 在 其 他 程序 之 中 , 当 执行 这 个 程序 时 ,病毒 就 起 破坏 作 
用 ,而 在 未 启动 这 个 程序 之 前 ,病毒 是 不 易 被 人 发 觉 的 。 

(2) 传染 性 : 计算 机 病毒 不 但 本 身 具 有 破坏 性 ,更 具有 传染 性 ,一旦 病毒 被 复制 或 产生 
变种 ,其 速度 之 快 令 人 难以 预防 。 传 染 性 是 病毒 的 基本 特征 。 计 算 机 病毒 会 通过 各 种 渠道 
从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 ,在 某 些 情况 下 造成 被 感染 的 计算 机 工作 失 
常 甚至 瘫痪 。 是 否 具有 传染 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 。 病 毒 程序 
通过 修改 磁盘 肩 区 信息 或 文件 内 容 将 自身 艇 入 到 系统 应 用 程序 内 部 ,被 嵌入 的 程序 叫 作 宿 
主 程序 。 

(3) 潜伏 性 : 有 些 病毒 像 定 时 炸弹 一 样 ,发 作 时 间 是 预先 设计 好 的 。 比 如 黑色 星期 五 
病毒 ,不 到 预定 时 间 无 法 觉察 。 当 条 件 具 备 时 , 则 会 产生 对 系统 的 巨大 破坏 。 潜 伏 性 愈 好 ， 
其 在 系统 中 的 存在 时 间 就 会 愈 长 ,病毒 的 传染 范围 就 会 愈 大 。 潜 伏 性 的 第 一 种 表现 是 指 病 
毒 程序 不 用 专用 检测 程序 无 法 检查 出 来 ;潜伏 性 的 第 二 种 表现 是 指 计算 机 病毒 的 内 部 往往 
有 一 种 触发 机 制 ,不 满足 触发 条 件 时 ,计算 机 病毒 除了 传染 外 不 做 任何 破坏 。 

(4) 隐蔽 性 : 计算 机 病毒 具有 很 强 的 隐蔽 性 ,有 的 可 以 通过 病毒 软件 检查 出 来 ,有 的 根 
本 就 查 不 出 来 ,这 类 病毒 处 理 起 来 通常 很 困难 。 

(5) 破坏 性 : 计算 机 中 毒 后 ,会 导致 正常 的 程序 无 法 运行 ,删除 或 破坏 计算 机 内 的 
Aen. 


2.4.1.2 病毒 命名 


可 以 通过 杀毒 软件 的 报告 中 出 现 的 病毒 名 来 判断 该 病毒 的 一 些 共 有 的 特性 。 
病毒 名 的 一 般 格式 为 二 病毒 前 级 二 . 去 病毒 名 之 . HRA. 
病毒 前 级 是 指 一 个 病毒 的 种 类 ,用 来 区 别 病毒 的 种 族 。 不 同 种 类 的 病毒 ,其 前 级 也 是 不 
同 的 。 比 如 常见 的 木马 病毒 前 级 是 Trojan ,蠕虫 病毒 的 前 绥 是 Worm 等 。 
病毒 名 是 指 一 个 病毒 的 家 族 特征 ,用 来 区 别 和 标识 病毒 的 家 族 。 例 如 ,著名 的 CIH 病 
毒 的 家 族 名 都 是 统一 的 CIH ,震荡 波 蠕 虫 病毒 的 家 族 名 是 Sasser. 
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病毒 后 级 是 指 一 个 病毒 的 变种 特征 ,用 来 区 别 具 体 某 个 家 族 病毒 的 变种 。 一 般 都 采用 
英文 中 的 26 个 字母 来 表示 ,如 Worm. Sasser. b 是 指 振 荡 波 蠕 虫 病毒 的 变种 B, 一般 称 为 
“振荡 波 B 变种 ”或 者 “振荡 波 变种 B”。 

病毒 的 主 名 称 是 由 分 析 员 根据 病毒 体 的 特征 字符 串 、 特 定 行 为 或 者 所 使 用 的 编译 平台 
来 定 的 ,如 果 无 法 确定 , 则 可 以 用 字符 串 Agent 来 代替 主 名 称 , 小 于 10KB 的 文件 可 以 命名 
为 Small, 

版 本 信息 只 允许 为 数字 ,对 于 版 本 信息 不 明确 的 不 加 版 本 信息 。 

如 果 病 毒 的 主 行为 类 型 行为 类 型 .宿主 文件 类 型 和 主 名 称 均 相 同 , 则 认为 是 同一 家 族 
的 病毒 ,这 时 需要 用 变种 号 来 区 分 不 同 的 病毒 记录 。 如 果 一 位 版 本 号 不 够 用 , 则 最 多 可 以 扩 
展 到 3 位 ,并 且 均 为 小 写字 母 a 一 z, 如 aa ab. aaa aab, 以 此 类 推 , 由 系统 自动 计算 ,不 需要 人 
工 输入 或 选择 。 


2.4.2 计算 机 病毒 分 类 


1. 按 病毒 存在 的 媒体 分 类 

按照 计算 机 病毒 存在 的 媒体 进行 分 类 ,可 以 分 为 网 络 病毒 .文件 病毒 和 引导 型 病毒 。 网 
络 病毒 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 ,文件 病毒 感染 计算 机 中 的 文件 (如 
COM,EXE,DOC 等 ) ,引导 型 病毒 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 引导 扁 区 (MBR)。 还 
有 这 3 种 情况 的 混合 型 ,例如 ,多 型 体 病毒 (文件 型 和 引导 型 ) 感 染 文 件 和 引导 扇 区 两 种 目 
标 , 这 样 的 病毒 通常 都 具有 复杂 的 算法 ,它们 使 用 非常 规 的 办 法 侵入 系统 ,同时 使 用 了 加 密 
和 变形 算法 。 

2. 按 病毒 传染 方法 分 类 

按照 计算 机 病毒 传染 的 方法 进行 分 类 ,可 分 为 驻 留 型 病毒 和 非 驻 留 型 病毒 。 驻 留 型 病 
毒 感 染 计 算 机 后 ,把 自身 的 驻 留 部 分 放 在 内 存 (RAM) 中 ,这 一 部 分 程序 挂 接 系统 并 合并 到 
操作 系统 中 去 ,处 于 激活 状态 ; 非 驻 留 型 病毒 在 得 到 机 会 激活 时 并 不 感染 计算 机 内 存 。 

3. 按 病毒 的 破坏 能 力 分 类 

根据 病毒 破坏 的 能 力 可 划分 为 以 下 几 种 : 

CD 无 害 型 : 除了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 。 

(2) 无 危险 型 : 这 类 病毒 仅仅 是 减少 内 存 ,显示 图 像 , 发 出 声音 。 

G) 危险 型 : 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

(4) 非常 危险 型 : 这 类 病毒 删除 程序 ,破坏 数据 ,清除 系统 内 存 区 和 操作 系统 中 重要 的 
信息 ,由 病毒 引起 其 他 的 程序 产生 的 错误 也 会 破坏 文件 和 扇 区 。 

4. 按 病毒 特有 的 算法 分 类 

根据 病毒 特有 的 算法 ,可 以 划分 为 以 下 几 种 : 

CD 伴随 型 病毒 : 这 一 类 病毒 并 不 改变 文件 本 身 , 它 们 根据 算法 产生 EXE 文件 的 伴随 
体 , 具 有 同样 的 名 字 和 不 同 的 扩展 名 (COM)。 例 如 ,XCOPY. EXE 的 伴随 体 是 XCOPY. 
COM, 病毒 把 自身 写 入 COM 文件 ,并 不 改变 EXE 文件 , 当 DOS 加 载 文 件 时 ,伴随 体 优先 
被 执行 ,再 由 伴随 体 加 载 执 行 原来 的 EXE 文件 。 

(2)“ 蠕 虫 ”型 病毒 : 通过 计算 机 网 络 传 播 , 不 改变 文件 和 资料 信息 ,利用 网 络 从 一 台 计 
算 机 的 内 存 传播 到 其 他 计算 机 的 内 存 , 计 算 网 络 地 址 ,将 自身 的 病毒 通过 网 络 发 送 。 
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(3) 寄生 型 病毒 : 除了 伴随 型 和 蠕虫 型 ,其 他 病毒 均 可 称 为 寄生 型 病毒 ,它们 依附 在 系 
统 的 引导 扇 区 或 文件 中 ,通过 系统 的 功能 进行 传播 。 

(4) 诡秘 型 病毒 : 它们 一 般 不 直接 修改 DOS 中 断 和 扇 区 数据 ,而 是 通过 文件 缓冲 区 进 
fi DOS 内 部 修改 ,利用 DOS 空闲 的 数据 区 进行 工作 。 

(5) 变型 病毒 (又 称 幽灵 病毒 ) : 这 一 类 病毒 使 用 复杂 的 算法 ,使 自己 每 传播 一 份 都 具 
有 不 同 的 内 容 和 长 度 。 一 般 由 一 段 混 有 无 关 指 令 的 解码 算法 和 变化 过 的 病毒 体 组 成 。 

5. 按 病毒 的 攻击 目标 分 类 

根据 病毒 的 攻击 目标 ,可 以 分 为 以 下 几 种 : 

(D DOS 病毒 : 针对 DOS 操作 系统 开发 的 病毒 。 由 于 Windows 9x 病毒 的 出 现 ,DOS 
病毒 几乎 绝迹 。 但 DOS 病毒 在 Windows 9x 环境 中 仍 可 以 进行 感染 活动 ,因此 若 执行 染 毒 
文件 ,Windows 9x 用 户 的 系统 也 会 被 感染 。 

(2) Windows 病毒 : 针对 Windows 9x 操作 系统 的 病毒 。 现 在 的 计算 机 一 般 都 安装 
Windows 系统 ,其 中 最 典型 的 病毒 为 CIH 病毒 。 一些 Windows 病毒 不 仅 在 Windows 9x 
上 正常 感染 ,还 可 以 感染 Windows NT 上 的 其 他 文件 。 

(3) 其 他 系统 病毒 : 主要 攻击 Linux, UNIX 和 OS2 JE ig AX ZR BER SE. TAAR 
身 的 复杂 性 ,这 类 病毒 数量 不 是 很 多 。 

6. 按 病毒 的 链接 方式 分 类 

根据 计算 机 病毒 的 链接 方式 可 分 为 以 下 几 种 : 

(1) 源码 型 病毒 : 这 种 病毒 攻击 高 级 语言 编写 的 程序 ,在 高 级 语言 所 编写 的 程序 编译 
前 插入 到 源 程序 中 ,经 编译 成 为 合法 程序 的 一 部 分 。 

(2) HRA BE: 这 种 病毒 是 将 自身 戏 入 到 现 有 程序 中 ,把 计算 机 病毒 的 主体 程序 与 
其 攻击 的 对 象 以 插入 的 方式 链接 。 这 种 计算 机 病毒 是 难以 编写 的 ,一 旦 侵入 程序 体 后 也 较 
难 消除 。 如 果 同 时 采用 多 态 性 病毒 技术 ,超级 病毒 技术 和 隐蔽 性 病毒 技术 ,将 给 当前 的 反 病 
毒 技术 带 来 严峻 的 挑战 。 

(3) 外 过 型 病毒 : 这 种 病毒 将 其 自身 包围 在 主 程序 的 四 周 ,对 原来 的 程序 不 作 修改 。 
这 种 病毒 最 为 常见 ,易于 编写 ,也 易于 发 现 , 一 般 测试 文件 的 大 小 即 可 察觉 。 

(4) 操作 系统 型 病毒 : 这 种 病毒 用 自身 的 程序 加 入 或 取代 部 分 操作 系统 进行 工作 , 具 
有 很 强 的 破坏 力 , 可 以 导 臻 整个 系统 瘫 痰 。 圆 点 病毒 和 大 麻 病 毒 就 是 典型 的 操作 系统 型 病毒 。 


2.4.3 病毒 的 危害 与 防范 


1983 年 11 月 3 日 , 弗 雷 德 . 科恩 (Fred Cohen) 博 士 研制 出 一 种 在 运行 过 程 中 可 以 复 
制 自身 的 破坏 性 程序 。 伦 ， 艾 德 勒 曼 (Len Adleman) 将 这 种 破坏 性 程序 命名 为 计算 机 病毒 
(computer virus) ,并 在 每 周一 次 的 计算 机 安全 讨论 会 上 正式 提出 ,8 小 时 后 专家 们 在 
VAX11/750 计算 机 系统 上 成 功 运行 该 程序 ,这 样 ,第 一 个 病毒 实验 成 功 。 

计算 机 病毒 之 所 以 被 称 为 “病毒 ”, 是 因为 其 具有 传染 性 的 本 质 。 传 统 渠道 通常 有 以 下 
几 种 : 

COD 通过 介质 : 由 于 使 用 带 有 病毒 的 介质 ,使 计算 机 感染 病毒 发 病 , 并 传染 给 未 被 感染 
的 “干净 ”的 移动 介质 。 大 量 的 数据 交换 以 及 合法 或 非法 的 程序 复制 会 加 速 病毒 感染 。 

(2) 通过 硬盘 : 这 也 是 重要 的 渠道 ,由 于 带 有 病毒 的 计算 机 移 到 其 他 地 方 使 用 或 者 进 
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行 维修 等 ,使 病毒 扩散 。 

C3) 通过 网 络 : 这 种 传染 渠道 扩散 极 快 , 能 在 很 短 时 间 内 传 遍 网 络 上 的 计算 机 。 一 种 
威胁 来 自 文件 下 载 ,这些 被 浏览 的 或 被 下 载 的 文件 可 能 存在 病毒 。 另 一 种 威胁 来 自 电 子 邮 
件 , 大 多 数 邮件 系统 提供 了 在 网 络 间 传 送 附带 格式 化 文档 附件 的 功能 ,网 络 使 用 的 简易 性 和 
开放 性 使 得 这 种 威胁 越 来 越 严重 。 


2.4.3.1 计算 机 病毒 的 危害 


世界 上 已 出 现 的 最 著名 的 计算 机 病毒 包括 以 下 几 类 。 

1. Elk Cloner(1982 年 ) 

它 被 看 作 攻击 个 人 计算 机 的 第 一 款 全 球 病毒 。 它 通过 Apple 上 [计算 机 软盘 进行 传播 。 
这 个 病毒 被 放 在 一 个 游戏 磁盘 上 ,可 以 使 用 49 次。 在 第 50 次 使 用 的 时 候 , 它 并 不 运行 游 
戏 , 取 而 代 之 的 是 打开 一 个 空白 屏幕 ,并 显示 一 首 短 诗 。 

2. Brain(1986 ££) 

Brain 是 第 一 款 攻击 DOS 操作 系统 的 病毒 ,可 以 感染 360KB 软盘 ,该 病毒 会 填充 软盘 
上 全 部 未 用 的 空间 ,导致 它 不 能 再 被 使 用 。 

3. Morris(1988 年 ) 

该 病毒 程序 利用 系统 存在 的 弱点 进行 人 侵 ,Morris 设计 该 病毒 最 初 的 目的 并 不 是 摘 破 
坏 ,而 是 用 来 测量 网 络 的 大 小 。 但 是 ,由 于 程序 的 循环 没有 处 理 好 ,计算 机 会 不 停 地 执行 该 
程序 ,最 终 导致 死机 。 

4. CIH(1998 年 ) 

CIH 病毒 是 迄今 破坏 性 最 严重 的 病毒 ,也 是 世界 上 首 例 破 坏 硬 件 的 病毒 。 它 发 作 时 不 
仅 破 坏 硬 盘 的 引导 区 和 分 区 表 ,而且 破坏 计算 机 系统 BIOS, 导 致 主板 损坏 。 此 病毒 是 由 台 
SEE Bs dit SE OF id BS o 

5. Melissa( 1999 年 ) 

Melissa 是 最 早 通过 电子 邮件 传播 的 病毒 之 一 , 当 用 户 打 开 一 封 电子 邮件 的 附件 时 , 病 
毒 会 自动 发 送 到 用 户 通讯 短 中 的 前 50 个 地 址 ,因此 这 个 病毒 在 数 小 时 之 内 传 帝 全 球 。 

6. Love Letter(2000 年 ) 

Love Letter 也 是 通过 电子 邮件 附件 进行 传播 的 , 它 把 病毒 伪装 成 一 封 求爱 信 来 欺骗 收 
件 人 打开 。 这 个 病毒 以 其 传播 速度 和 范围 让 安全 专家 吃惊 。 在 数 小 时 之 内 ,这 个 小 小 的 计 
算 机 程序 征服 了 全 世界 范围 内 的 计算 机 系统 。 

7.“ 红 色 代 码 ”(2001 年 ) 

“红色 代码 ?被 认为 是 史上 最 昂贵 的 计算 机 病毒 之 一 ,这 个 自我 复制 的 恶意 病毒 利用 微 
软 IIS 服务 器 中 的 一 个 漏洞 。 该 蠕虫 病毒 具有 一 个 更 恶毒 的 版 本 , 称 作 "红色 代码 开 ”, 被 感 
染 的 系统 性 能 会 严重 下 降 。 

8. Nimda(2001 年 ) 

Nimda 是 历史 上 传播 速度 最 快 的 病毒 之 一 ,在 上 线 之 后 的 22 分 钟 之 后 就 成 为 传播 最 广 
的 病毒 。 

9.“ 冲 击 波 ”(2003 F) 

“冲击 波 ” 病 毒 的 英文 名 称 是 Blaster, 还 被 叫 作 Lovsan 或 Lovesan, 它 利用 微软 公司 软 
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件 中 的 一 个 缺陷 ,对 系统 端口 进行 疯狂 攻击 ,可 以 导致 系统 崩 演 。 
10.“ 震 荡 波 ”(2004 年 ) 
“震荡 波 ” 的 英文 名 称 是 Sasser. EE 

计算 机 前 溃 并 不 断 重 启 。 

11.“ 熊 猫 烧香 ”(2007 年 ) 

“熊猫 烧香 ”会 使 所 有 程序 图 标 变 成 熊猫 烧香 ,并 使 它们 不 能 应 用 。 

12.“ 扫 荡 波 ”(2008 ££) 

“扫荡 波 ? 也 是 一 个 利用 漏洞 从 网 络 人 侵 的 程序 。 大 批 用 户 关闭 自动 更 新 以 后 ,加 剧 了 

这 个 病毒 的 草 延 ,可 以 完全 控制 被 攻击 的 计算 机 。 

13.“ 木 马 下 载 器 ”(2009 Æ) 

感染 “木马 下 载 器 ”病毒 后 会 产生 1000 一 2000 个 木马 病毒 ,导致 系统 崩溃 。 

14.“ 鬼 影 病毒 ”(2010 年 ) 

该 病毒 成 功 运 行 后 ,在 进程 中 和 系统 启动 加 载 项 里 找 不 到 任何 异常 ,而 且 即 使 格式 化 硬 

盘 并 重 装 系统 ,也 无 法 彻底 清除 该 病毒 。 

表 2.4.1 显示 了 近年 来 几 个 病毒 带 来 的 巨大 危害 。 


R241 重大 病毒 危害 列表 


又 一 个 利用 Windows 缺陷 的 蠕虫 病毒 ,可 以 导致 


年 份 攻击 行为 发 起 者 受害 PC 数目 损失 金额 /美元 
2006 木马 和 恶意 软件 (破坏 程度 不 可 估计 ) (损失 不 可 估计 ) 
2005 木马 (破坏 程度 不 可 估计 ) (损失 不 可 估计 ) 
2004 Worm_Sasser( 震 荡 波 ) (破坏 程度 不 可 估计 ) (损失 不 可 估计 ) 
2003 Worm_MSBLAST( 冲 击 波 ) 超过 140 万 台 (损失 不 可 估计 ) 
2003 SQL Slammer 超过 20 万 台 9.542 ~12 4Z 
2002 Klez 超过 600 HA 90 亿 

2001 RedCode 超过 100 万 台 26 亿 

2001 Nimda 超过 800 万 台 60 亿 

2000 Love Letter (破坏 程度 不 可 估计 ) 88 亿 

1999 CIH 超过 6000 万 台 近 100 亿 


2.4.3.2. 反 病 毒 技术 


从 反 病毒 产品 对 计算 机 病毒 的 作用 来 讲 , 反 病毒 技术 可 以 分 为 病毒 预防 技术 、 病 毒 检测 
技术 及 病毒 清除 技术 。 

1. 病毒 预防 技术 

计算 机 病毒 的 预防 技术 就 是 通过 一 定 的 技术 手段 防止 计算 机 病毒 对 系统 的 传染 和 破 
坏 , 即 一 种 行为 规则 判定 技术 。 具 体 来 说 ,计算 机 病毒 的 预防 是 通过 阻止 计算 机 病毒 进入 系 
统 内 存 或 阻止 计算 机 病毒 对 磁盘 的 操作 (尤其 是 写 操作 ) 来 实现 的 。 

病毒 预防 技术 包括 磁盘 引导 区 保护 、 加 密 可 执行 程序 、 读 写 控制 技术 和 系统 监控 技术 
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等 。 计 算 机 病毒 的 预防 应 用 包括 对 已 知 病毒 的 预防 和 对 未 知 病毒 的 预防 两 个 部 分 。 目 前 ， 
对 已 知 病毒 的 预防 可 以 采用 特征 判定 技术 或 静态 判定 技术 ,而 对 未 知 病毒 的 预防 则 是 一 种 
行为 规则 的 判定 技术 , 即 动态 判定 技术 。 

2. 病毒 检测 技术 

计算 机 病毒 的 检测 技术 是 指 通过 一 定 的 技术 手段 判定 出 特定 计算 机 病毒 的 技术 。 它 有 
两 种 : 一 种 是 根据 计算 机 病毒 的 关键 字 、 特 征程 序 段 内 容 、 病 毒 特征 及 传染 方式 ,文件 长 度 
的 变化 ,在 特征 分 类 的 基础 上 建立 的 病毒 检测 技术 ; 另 一 种 是 不 针对 具体 病毒 程序 的 自身 校 
验 技术 , 即 对 某 个 文件 或 数据 段 进行 检验 和 计算 并 保存 其 结果 ,以 后 定期 或 不 定期 地 以 保存 
的 结果 对 该 文件 或 数据 段 进行 检验 , 若 出 现 差 异 , 即 表 示 该 文件 或 数据 段 完 整 性 已 遭 到 破 
坏 ,感染 了 病毒 ,从 而 检测 到 病毒 的 存在 。 

3. 病毒 清除 技术 

计算 机 病毒 的 清除 技术 是 计算 机 病毒 检测 技术 发 展 的 必然 结果 ,是 计算 机 病毒 传染 程 
序 的 一 种 逆 过 程 。 目 前 ,清除 病毒 大 都 是 在 某 种 病毒 出 现 后 ,通过 对 其 进行 分 析 研 究 而 研制 
出 具有 相应 解毒 功能 的 软件 来 实现 的 。 这 类 软件 技术 发 展 往往 是 被 动 的 , 带 有 澡 后 性 。 由 
于 计算 机 软件 所 要 求 的 精确 性 ,解毒 软件 有 其 局 限 性 ,对 变种 病毒 的 清除 无 能 为 力 。 


2.4.4 病毒 防护 与 检测 策略 


在 网 络 环境 下 ,防范 病毒 问题 显得 尤其 重要 。 因 此 采用 高 效 的 网 络 防 病毒 方法 和 技术 
是 一 件 非常 重要 的 事情 。 


2.4.4.1 病毒 防护 技术 


网 络 病毒 防护 有 以 下 4 种 基本 方法 。 

1. 基于 网 络 目 录 和 文件 安全 性 方法 

对 网 络 上 的 公用 目录 或 共享 目录 采取 安全 性 防范 措施 ,对 于 防止 病毒 在 网 上 传播 起 到 
积极 作用 。 至 于 网 络 用 户 的 私人 目录 ,由 于 其 限于 个 别 使 用 ,病毒 很 难 传播 给 其 他 用 户 。 采 
用 基于 网 络 目录 和 文件 安全 性 的 方法 对 防止 病毒 能 起 到 一 定 作 用 ,但 是 这 种 方法 毕竟 是 基 
于 网 络 操作 系统 的 安全 性 的 设计 ,存在 着 局 限 性 。 

2. 采用 工作 站 防 病毒 芯 

这 种 方法 是 将 防 病毒 功能 集成 在 一 个 芯片 上 ,安装 在 网 络 工 作 站 上 ,以 便 经 常 性 地 保护 
工作 站 及 其 通 往 服务 器 的 路 径 。 防 病毒 芯片 将 工作 站 存 取 控制 与 病毒 保护 能 力 合 二 为 一 ， 
插 在 网 卡 的 EPROM 酸 内 ,也 可 以 免除 用 户 许多 烦琐 的 管理 工作 。 

3. 采用 Station Lock 网 络 防毒 方法 

Station Lock 是 著名 的 防 病毒 产品 开发 商 Trend Micro Devices 公司 的 新 一 代 网 络 防 
病毒 产品 。 其 防毒 概念 是 建立 在 “病毒 必须 执行 有 限 数量 的 程序 之 后 才 会 产生 感染 效力 ”的 
基础 之 上 。 引 导 型 病毒 必须 使 用 系统 的 BIOS 功能 调用 ;文件 型 病毒 必须 将 自己 所 有 的 程 
序 代 码 复 制 到 男 一 个 系统 执行 文件 时 才能 使 之 感染 ;混合 型 病毒 和 多 型 体 病毒 在 实施 感染 
之 前 也 必须 获取 系统 控制 权 , 才 能 运行 病毒 体 程序 而 实施 感染 。Station Lock 就 是 通过 这 
些 特点 ,用 间接 方法 观察 ,精确 地 预测 病毒 的 攻击 行为 。 其 作用 对 象 包括 多 型 体 病毒 和 未 来 
型 病毒 。 
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4. 基于 服务 器 的 防毒 技术 

服务 器 是 网 络 的 核心 ,一 旦 服务 器 被 病毒 感染 ,就 会 使 服务 器 无 法 启动 ,整个 网 络 陷于 
瘫痪 ,造成 灾难 性 后 果 。 目 前 基于 服务 器 的 防治 病毒 方法 大 都 采用 了 NLM(NetWare Load 
Module) HER ,以 NLM 模块 方式 进行 程序 设计 ,以 服务 器 为 基础 ,提供 实时 扫描 病毒 能 力 。 
市 场 上 的 产品 ,如 Central Point 公司 的 AntiVirus for Networks, Intel 公司 的 LANdesk 
Virus Protect 以 及 南京 威 尔 德 电脑 公司 的 Lanclear for NetWare 等 都 是 采用 了 以 服务 器 为 
基础 的 防 病毒 技术 。 这 些 产 品 的 目的 都 是 保护 服务 器 ,使 之 不 被 感染 。 这 样 ,病毒 也 就 失去 
了 传播 途径 ,因而 从 根本 上 杜绝 了 病毒 在 网 上 蔓延 。 

在 上 述 4 种 网 络 防毒 技术 中 ,Station Lock 是 一 种 针对 病毒 行为 的 防治 方法 ,Station 
Lock 目前 已 能 提供 Intel 以 太 网 络 接口 卡 支持 ,而 且 未 来 还 将 支持 各 种 普及 型 的 以 太 令 
牌 环 (token-ring) 网 络 接口 卡 。 基 于 服务 器 的 防治 病毒 方法 的 优势 表现 在 可 以 集中 式 扫 
BE ,能 实现 实时 扫描 功能 ,软件 升级 方便 。 特 别 是 当 联网 的 计算 机 很 多 时 ,利用 这 种 方法 
比 为 每 台 工 作 站 都 安装 防 病毒 产品 要 节省 成 本 。 其 代表 性 的 产品 有 LANdesk, LANClear 
for NetWare 等 。 

5. 实时 反 病 毒 技术 

实时 反 病 毒 技术 一 向 为 反 病 毒 界 所 看 好 ,被 认为 是 比较 彻底 的 反 病 毒 解决 方案 。 多 年 
来 其 发 展 之 所 以 受到 制约 ,一 方面 是 因为 它 需要 占用 一 部 分 系统 资源 而 降低 系统 性 能 ; 另 一 
方面 是 因为 它 与 其 他 软件 (特别 是 操作 系统 ) 的 兼容 性 问题 始终 没有 得 到 很 好 的 解决 。 

随 着 硬件 处 理 速度 的 不 断 提 高 ,实时 反 病 毒 技 术 所 造成 的 系统 负荷 已 经 降低 到 了 可 以 
忽略 的 程度 ,而 Windows 操作 系统 的 多 任务 ,多 线程 环境 ,又 为 实时 反 病 毒 技术 提供 了 良好 
的 运行 环境 ,因此 实时 反 病 毒 技术 重新 得 到 重视 。 


2.4.4.2 病毒 检测 技术 

1. 比较 法 

比较 法 是 用 原始 备份 与 被 检测 的 引导 扇 区 或 被 检测 的 文件 进行 比较 。 比 较 时 可 以 靠 打 
印 的 代码 清单 (比如 DEBUG 的 D 命令 输出 格式 ) 进 行 比 较 , 或 用 程序 来 进行 比较 (如 DOS 
的 DISKCOMP,FC 或 PCTOOLS 等 其 他 软件 )。 比 较 法 不 需要 专用 的 计算 机 病毒 检测 程 
序 , 只 要 用 常规 DOS 软件 和 PCTOOLS 等 工具 软件 就 可 以 进行 。 而 且 用 比较 法 还 可 以 发 
现 那些 尚 不 能 被 现 有 的 查 毒 程序 发 现 的 计算 机 病毒 。 通 过 代码 分 析 , 可 以 判定 某 个 程序 中 
是 否 含有 已 知 的 计算 机 病毒 程序 ,对 于 新 计算 机 病毒 的 检测 就 只 有 靠 比较 法 和 分 析 法 ,有 时 
必须 结合 这 两 者 来 一 同 工 作 。 

比较 法 的 好 处 是 简单 .方便 ,不 需 专 用 软件 。 缺 点 是 无 法 确认 计算 机 病毒 的 种 类 名 称 。 
另外 ,造成 被 检测 程序 与 原始 备份 之 间 差 别 的 原因 尚 需 进 一 步 验证 ,以 查 明 是 计算 机 病毒 造 
成 的 ,还 是 由 于 系统 文件 被 偶然 (如 突然 停电 ,程序 失控 、 恶 意 程 序 等 ) 破 坏 的 。 男 外 , 当 找 不 
到 原始 备份 时 ,用 比较 法 就 不 能 马上 得 到 结论 。 

2. 加 总 比 对 法 

根据 每 个 程序 的 文件 名 称 、 大 小 、 时 间 \ 日 期 及 内 容 , 加 总 为 一 个 检查 码 , 再 将 检查 码 附 
于 程序 的 后 面 ,或 是 将 所 有 检查 码 放 在 同一 个 数据 库 中 ,再 利用 加 总 对 比 系统 追踪 并 记录 每 
个 程序 的 检查 码 是 否 被 更 改 ,以 判断 是 否 感染 了 计算 机 病毒 。 
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这 种 技术 可 检测 到 各 种 计算 机 病毒 ,但 其 最 大 的 缺点 就 是 误 判 率 高 , 且 无 法 确认 感染 了 
哪 种 计算 机 病毒 。 另 外 , 它 无 法 检测 到 隐形 计算 机 病毒 。 

3. 搜索 法 

搜索 法 是 用 每 一 种 计算 机 病毒 体 含 有 的 特定 字符 串 对 被 检测 的 对 象 进行 扫描 。 如 果 在 
被 检测 对 象 内 部 发 现 了 某 种 特定 字符 串 ,就 表明 发 现 了 该 字符 串 所 代表 的 计算 机 病毒 。 国 
外 对 这 种 按 搜索 法 工作 的 计算 机 病毒 扫描 软件 叫 Virus Scanner。 计 算 机 病毒 扫描 软件 由 
两 部 分 组 成 : 一 部 分 是 计算 机 病毒 代码 库 , 含 有 经 过 特别 选 定 的 各 种 计算 机 病毒 的 代码 串 ; 
另 一 部 分 是 利用 该 代码 库 进 行 扫描 的 扫描 程序 。 目 前 常见 的 防 杀 计算 机 病毒 软件 对 已 知 计 
算 机 病毒 的 检测 大 多 采用 这 种 方法 。 计 算 机 病毒 扫描 程序 能 识别 的 计算 机 病毒 的 数目 完全 
取决 于 计算 机 病毒 代码 库 内 所 含 计算 机 病毒 的 种 类 多 少 。 显 而 易 见 , 库 中 计算 机 病毒 代码 
种 类 越 多 ,扫描 程序 能 认 出 的 计算 机 病毒 就 越 多 。 

这 种 扫描 法 的 缺点 也 是 明显 的 。@ 当 被 扫描 的 文件 很 长 时 ,扫描 所 花 时 间 也 很 长 ; 
@ 新 的 计算 机 病毒 的 特征 串 未 加 入 计算 机 病毒 代码 库 时 , 老 版 本 的 扫 毒 程序 无 法 识别 出 新 
的 计算 机 病毒 ; @ 怀 有 恶意 的 计算 机 病毒 制造 者 得 到 代码 库 后 ,会 很 容易 地 改变 计算 机 病 
毒 体内 的 代码 ,生成 一 个 新 的 变种 ,使 扫描 程序 失去 检测 它 的 能 力 ; @ 容 易 产 生 误 报 ; OR 
易 识别 多 维 变 形 计算 机 病毒 。 

4. 分 析 法 

分 析 法 常 为 反 病毒 技术 人 员 使 用 。 使 用 分 析 法 的 目的 在 于 以 下 几 点 : 

(1) 确认 被 观察 的 磁盘 引导 扇 区 和 程序 中 是 否 含 有 计算 机 病毒 。 

(2) 确认 计算 机 病毒 的 类 型 和 种 类 ,判定 其 是 否 是 一 种 新 的 计算 机 病毒 。 

(3) 搞 清楚 计算 机 病毒 体 的 大 臻 结构, 提取 特征 识别 用 的 字 节 串 或 特征 字 , 用 于 增添 到 
计算 机 病毒 代码 库 供 计 算 机 病毒 扫描 和 识别 程序 用 。 

(4) 详细 分 析 计 算 机 病毒 代码 ,以 制定 相应 的 防 杀 计算 机 病毒 措施 方案 。 

使 用 分 析 法 要 求 具有 比较 全 面 的 有 关 计 算 机 、DOS、Windows、 网 络 等 的 结构 和 功能 调 
用 以 及 关于 计算 机 病毒 方面 的 各 种 知识 ,这 是 与 其 他 检测 计算 机 病毒 方法 不 一 样 的 地 方 。 

这 种 方法 除了 要 求 分 析 人 员 具 有 相关 的 知识 外 ,还 需要 反 汇 编 工具 二进制 文件 编辑 器 
等 分 析 用 工具 程序 和 专用 的 试验 计算 机 。 计 算 机 病毒 检测 的 分 析 法 是 防 杀 计 算 机 病毒 工作 
中 不 可 缺少 的 重要 技术 ,任何 一 个 性 能 优良 的 防 杀 计 算 机 病毒 系统 的 研制 和 开发 都 离 不 开 
专门 人 员 对 各 种 计算 机 病毒 的 详尽 而 认真 的 分 析 。 

分 析 分 为 静态 分 析 和 动态 分 析 两 种 。 静 态 分 析 是 指 利 用 反 汇 编 工 具 将 计算 机 病毒 代码 
打印 成 反 汇 编 指令 程序 清单 后 进行 分 析 。 分 析 人 员 的 素质 越 高 ,分 析 过 程 越 快 ,理解 越 深 。 
动态 分 析 则 是 指 利用 DEBUG 等 调试 工具 在 内 存 带 毒 的 情况 下 ,对 计算 机 病毒 做 动态 跟踪 ， 
观察 计算 机 病毒 的 具体 工作 过 程 ,以 进一步 在 静态 分 析 的 基础 上 理解 计算 机 病毒 工作 的 
原理 。 

5. 人 工 智能 陷阱 技术 和 宏 病 毒 陷阱 技术 

人 工 智 能 陷阱 是 一 种 监测 计算 机 行为 的 常 驻 式 扫描 技术 。 它 将 所 有 计算 机 病毒 所 产生 
的 行为 归纳 起 来 ,一 旦 发 现 内 存 中 的 程序 有 任何 不 当 的 行为 ,系统 就 会 有 所 警觉 ,并 告知 使 
用 者 。 这 种 技术 的 优点 是 执行 速度 快 ,操作 简便 , 且 可 以 检测 到 各 种 计算 机 病毒 ;其 缺点 是 
程序 设计 难 , 且 不 容易 考虑 周全 。 


© 39 œ 


宏 病 毒 陷阱 技术 (MacroTrap) 结 合 了 搜索 法 和 人 工 智能 陷阱 技术 , 依 行为 模式 来 检测 
已 知 及 未 知 的 宏 病 毒 。 其 中 ,配合 OLE2 技术 ,可 将 宏 与 文件 分 开 , 使 扫描 速度 变 得 飞快 ,还 
可 以 有 效 地 将 宏 病毒 彻底 清除 。 

6. 软件 仿真 扫描 法 

该 技术 专门 用 来 对 付 多 态 变形 计算 机 病毒 (polymorphic/mutationvirus) 。 多 态 变 形 计 
算 机 病毒 在 每 次 传染 时 都 将 自身 以 不 同 的 随机 数 加 密 于 每 个 被 感染 的 文件 中 ,传统 搜索 法 
的 方式 根本 无 法 找到 这 种 计算 机 病毒 。 软 件 仿真 技术 则 是 成 功 地 仿真 CPU 执行 ,在 DOS 
虚拟 机 (virtual machine) 下 伪 执行 计算 机 病毒 程序 ,安全 并 确实 地 将 其 解密 ,再 加 以 扫描 。 

7. 先知 扫描 法 

先知 扫描 技术 (Virus Instruction Code Emulation ,VICE ,直译 为 病毒 指令 代码 仿真 ) 是 
继 软 件 仿真 后 的 一 大 技术 上 突破 。 先 知 扫描 技术 将 专业 人 员 用 来 判断 程序 是 否 存在 计算 机 
病毒 代码 的 方法 分 析 归 纳 成 专家 系统 和 知识 库 ,再 利用 软件 模拟 技术 (Csoftware emulation) 
伪 执 行 新 的 计算 机 病毒 ,超前 分 析出 新 计算 机 病毒 代码 ,防范 后 续 的 计算 机 病毒 。 


2.5 网 络 安 全 管理 规范 


信息 网 络 运行 部 门 的 安全 管理 工作 应 首先 研究 确定 网 络 安全 策略 , 即 网 络 安全 保护 工 
作 的 目标 和 对 象 。 网 络 安全 策略 包括 总 体 安 全 策略 .应 用 系统 安全 策略 .部 门 安全 策略 和 设 
备 安 全 策略 等 。 


2.5.1 信息 网 络 安全 策略 


信息 网 络 的 总 体 安全 策略 可 以 概括 为 “实体 可 信 ,行为 可 控 , 资 源 可 管 ,事件 可 查 ,运行 
可 靠 ”, 总 体 安 全 策略 为 其 他 安全 策略 的 制定 提供 总 的 依据 。 

(1) 实体 可 信 : 实体 指 构成 信息 网 络 的 基本 要 素 , 主 要 有 网 络 基础 设备 .软件 系统 .用 
户 和 数据 。 保 证 构建 网 络 的 基础 设备 和 软件 系统 安全 可 信 , 没 有 预 留 后 门 。 保 证 接 入 网 络 
的 用 户 是 可 信 的 ,防止 恶意 用 户 对 系统 的 攻击 破坏 。 保 证 在 网 络 上 传输 、 处 理 、 存 储 的 数据 
是 可 信 的 ,防止 搭 线 窃 听 , 非 授权 访问 或 恶意 自 改 。 

(2) 行为 可 控 : 保证 用 户 行为 可 控 , 即 保证 本 地 计算 机 的 各 种 软 硬 件 资源 不 被 非 授权 
使 用 或 被 用 于 危害 本 系统 或 其 他 系统 的 安全 。 保 证 网 络 接 入 可 控 , 即 保证 用 户 接 入 网 络 应 
严格 受 控 , 用 户 上 网 必须 得 到 许可 。 保 证 网 络 行为 可 控 , 即 保证 网 络 上 的 通信 行为 受到 
监视 和 控制 ,防止 滥用 资源 、 非 法 外 联 、 网 络 攻击 、 非 法 访问 和 传播 有 害 信 息 等 恶意 事件 
的 发 生 。 

(3) 资源 可 管 : 保证 对 路 由 器 、 交 换 机 、 服 务 器 、 邮 件 系统 、 数 据 库 、 域 名 Dc 
备 、 密 码 设备 .交换 机 端口 .了 地 址 ,用户 账 号 和 服务 端口 等 网 络 资源 进行 统一 

(4) 事件 可 查 : 保证 对 网 络 上 的 各 类 违规 事件 进行 监控 记录 ,确保 日 志 Peram 
为 安全 事件 稽查 、 取 证 提供 依据 。 

C» 运行 可 靠 : 保证 网 络 在 发 生 自 然 灾 难 或 遭 到 硬 摧毁 时 仍 能 不 间断 运行 ,具有 容 灾 
抗 毁 和 备份 恢复 能 力 。 保 证 能 够 有 效 防 范 病 毒 和 黑客 的 攻击 所 引起 的 网 络 拥塞 .系统 骨 溃 
和 数据 丢失 ,具有 较 强 的 应 急 响 应 和 灾难 恢复 能 力 。 
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2.5.2 信息 网 络 管理 机 制 


信息 网 络 安全 管理 坚持 “ 谁 主管 谁 负责 , 谁 运行 谁 负责 ”的 原则 。 

信息 安全 管理 组 织 的 主要 职责 是 制定 工作 人 员 和 守则 .安全 操作 规范 和 管理 制度 ,经 主管 
领导 批准 后 监督 执行 ;组 织 进行 信息 网 络 建设 和 和 运行 安全 检测 检查 ,掌握 详细 的 安全 资料 ， 
研究 制定 安全 对 策 和 措施 ;负责 信息 网 络 的 日 常安 全 管理 工作 ;定期 总 结 安全 工作 ,并 接受 
公安 机 关公 共 信 息 网 络 安全 监察 部 门 的 工作 指导 。 

信息 网 络 安全 管理 的 主要 内 容 是 由 主要 领导 负责 的 逐 级 安全 保护 管理 责任 制 , 配 备 专 
职 或 兼职 的 安全 员 ,各 级 职责 划分 明确 ,并 有 效 开展 工作 ;明确 运行 和 使 用 部 门 或 岗位 责任 
制 , 建 立 安 全 管理 规章 制度 ;在 职工 群众 中 普及 安全 知识 ,对 重点 岗位 职工 进行 专门 培训 和 
考核 ;采取 必要 的 安全 技术 措施 ;对 安全 保护 工作 有 档案 记录 和 应 急 计 划 ; 定 期 进行 安全 检 
测 .风险 分 析 和 安全 隐患 整改 ;实行 信息 安全 等 级 保护 制度 。 

信息 网 络 安全 管理 工作 要 坚持 从 实际 出 发 .保障 重点 的 原则 ,区 分 不 同情 况 ,分 级 、 分 
类 ,分 阶段 进行 信息 网 络 安 全 建设 和 管理 。 按 照 ( 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》 
的 规定 ,我国 实行 五 级 信息 安全 等 级 保护 。 

第 一 级 : 用 户 自主 保护 级 。 由 用 户 来 决定 如 何 对 资源 进行 保护 ,以 及 采用 何 种 方式 进 
行 保护 。 

第 二 级 : 系统 审计 保护 级 。 本 级 的 安全 保护 机 制 支持 用 户 具 有 更 强 的 自主 保护 能 力 ， 
特别 是 具有 访问 审 记 能 力 , 即 它 能 创建 ,维护 受 保护 对 象 的 访问 审计 跟踪 记录 ,记录 与 系统 
安全 相关 事件 发 生 的 日 期 \ 时 间 、 用 户 和 事件 类 型 等 信息 ,所 有 和 安全 相关 的 操作 都 能 够 被 
记录 下 来 ,以 便当 系统 发 生 安全 问题 时 ,可 以 根据 审计 记录 分 析 追 查 事故 责任 人 。 

第 三 级 : 安全 标记 保护 级 。 具 有 第 二 级 系统 审计 保护 级 的 所 有 功能 ,并 对 访问 者 及 其 
访问 对 象 实施 强制 访问 控制 。 通 过 对 访问 者 和 访问 对 象 指 定 不 同安 全 标记 ,限制 访问 者 的 
权限 。 

第 四 级 : 结构 化 保护 级 。 将 前 3 级 的 安全 保护 能 力 扩展 到 所 有 访问 者 和 访问 对 象 , 文 
持 形式 化 的 安全 保护 策略 。 其 本 身 构 造 也 是 结构 化 的 ,以 使 之 具有 相当 强 的 抗 渗 透 能 力 。 
本 级 的 安全 保护 机 制 能 够 使 信息 系统 实施 一 种 系统 化 的 安全 保护 。 

第 五 级 : 访问 验证 保护 级 。 除 具备 第 四 级 的 所 有 功能 外 ,还 具有 仲裁 访问 者 能 否 访问 
某 些 对 象 的 能 力 。 为 此 ,本 级 的 安全 保护 机 制 不 能 被 攻击 和 算 改 ,具有 极 强 的 抗 渗 透 能 力 。 

计算 机 信息 系统 安全 等 级 保护 标准 体系 包括 信息 系统 安全 保护 等 级 划分 标准 、 等 级 设 
备 标准 、 等 级 建设 标准 和 等 级 管理 标准 等 ,是 实行 等 级 保护 制度 的 重要 基础 。 


2.5.3 安全 事件 响应 机 制 


从 用 户 的 角度 看 ,安全 事件 包括 个 人 隐私 或 商业 利益 的 信息 在 网 络 上 受到 侵犯 ,其 他 人 
或 竞争 对 手 利用 窃听 、 冒 充 、 算 改 、 抵 赖 等 手段 侵犯 用 户 的 利益 和 隐私 ,破坏 信息 的 机 密 性 、 
从 网 络 运行 和 管理 者 的 角度 看 ,安全 事件 是 对 本 地 网 络 信息 的 访问 . 读 写 等 操作 ,出 现 
病毒 ,非法 存 取 、 拒 绝 服 务 和 网 络 资源 非法 占用 和 非法 控制 等 威胁 ,或 遭受 网 络 黑客 的 攻击 。 
从 保密 部 门 的 角度 看 ,安全 事件 是 国家 重要 信息 泄露 ,对 社会 产生 危害 ,对 国家 造成 巨 
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大 损失 。 

从 社会 教育 和 意识 形态 的 角度 看 ,在 网 络 上 传播 不 健康 的 内 容 , 对 社会 稳定 和 人 类 发 展 
造成 阻碍 等 都 是 安全 事件 。 

对 于 网 络 运行 和 管理 来 说 ,安全 事件 的 响应 处 置 包括 以 下 6 个 阶段 : 

CD 准备 阶段 ,基于 威胁 建立 一 组 合理 的 防范 .控制 措施 ,建立 一 组 尽 可 能 高 效 的 事件 
处 理 程序 ,获得 处 理 问题 必需 的 资源 和 人 员 ,最 终 建立 应 急 响 应 体系 。 

(2) 检测 阶段 ,进行 技术 检测 ,获取 完整 系统 备份 ,进行 系统 审计 ,分 析 异 常 现象 ,评估 
事件 范围 ,报告 事件 。 

(3) 控制 阶段 ,制定 可 能 的 控制 策略 ,拟定 详细 的 控制 措施 实施 计划 ,对 控制 措施 进行 
评估 和 选择 ,记录 控制 措施 的 执行 。 

(4) 根除 阶段 ,查找 出 事件 根源 并 根除 ,确认 备份 系统 的 安全 ,记录 和 报告 。 

(5) 恢复 阶段 ,根据 事件 情况 ,从 保存 完好 的 介质 上 恢复 系统 ,一 次 完整 的 恢复 应 包括 
修改 所 有 用 户 的 口令 。 

(6) 追踪 阶段 ,回顾 并 整合 发 生 事件 ,对 事件 进行 一 次 事后 分 析 ,为 下 一 步 进行 的 民事 
或 刑事 的 法 律 活动 提高 有 用 的 信息 。 
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第 3 童 网 络 分 析 实 验 


3.1 网 络 分 析 原 理 


3.1.1 TCP/IP 原理 


TCP/IP 是 一 个 4 层 协议 系统 ,是 一 组 不 同 的 协议 组 合 在 一 起 构成 的 协议 徐 。 其 原理 
可 以 概括 为 以 下 两 点 。 

CD 数据 发 送 时 自 上 而 下 , 层 层 加 码 ;数据 接收 时 自 下 而 上 , 层 层 解码 。 

如 图 3.1.1 所 示 , 当 应 用 程序 用 TCP 传送 数据 时 ,数据 被 送 入 协议 栈 中 ,然后 逐 层 通 
过 ,直到 被 当 作 一 串 比 特 流 送 入 网 络 。 每 一 层 对 收 到 的 数据 都 要 增加 一 些 首部 信息 (有 时 还 
要 增加 尾部 信息 ) 。TCP 传 给 IP 的 数据 单元 称 作 TCP 报 文 段 。IP 传 给 网 络 接口 层 的 数据 
单元 称 作 IP 数据 报 。 通 过 以 太 网 传输 的 比特 流 称 作 帧 。 


户 数据 
E i 应 用 程序 
pp "n" 
首部 | 用 户 数据 | 
i i TCP 
TCP 首 部 应 用 数据 
—t 
—- TCP ES =! IP 
' 
了 首部 “| TCP 首 部 应 用 数据 | 
IPRA = 以 太 网 
1 驱动 程序 
TCP 首 部 S zl 
14 20 20 4 以 太 网 
|= 以 太 网 帆 -| 
|~ 46-1500 B -| 


图 311 TOIP 协 议 系统 


(2) 逻辑 通信 在 同 层 完成 。 

数据 沿 垂直 方向 传递 ( 即 数据 在 各 层 间 依次 传递 ) 是 当今 普遍 认可 的 数据 处 理 的 功能 流 
程 。 每 一 层 都 有 与 其 相 邻 层 的 接口 。 为 了 进行 通信 ,系统 必须 在 各 层 之 间 传 递 数据 .指令 和 
地 址 等 信息 ,通信 的 逻辑 流程 与 真正 的 数据 流 不 同 ,虽然 通信 流程 生 直 通过 各 层 , 但 每 一 层 
都 在 逻辑 上 能 够 与 远程 计算 机 系统 的 相应 协议 层 直接 通信 。 如 图 3.1. 2 Bros ati fe Scb E 
是 按 生 直 方向 进行 的 ,但 在 逻辑 上 通信 和 是 在 同 层 进行 的 。 
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图 312 逻辑 通信 结构 


3.1.2 交换 技术 


所 谓 交 换 ,就 是 将 分 组 (或 帧 ) 从 一 个 端口 转移 到 另 一 端口 的 动作 。 交 换 机 在 操作 过 程 
中 会 不 断 地 收集 资料 去 建立 它 本 身 的 一 个 地 址 表 一 一 MAC 地 址 表 , 以 显示 主机 的 MAC 地 
址 与 以 太 网 交换 机 端口 的 映射 关系 ,指出 数据 帧 去 往 的 目标 主机 。 

当 以 太 网 交换 机 收 到 一 个 数据 帧 时 ,将 数据 帧 的 目的 MAC 地 址 与 MAC 地 址 表 进 行 
查找 匹配 。 如 果 在 MAC 地 址 表 中 没有 相应 的 匹配 项 , 则 向 除 接收 端口 外 的 所 有 端口 广播 
该 数据 帧 。 当 MAC 地 址 表 中 有 匹配 项 时 ,该 匹配 项 指定 的 交换 机 端口 与 接收 端口 相同 则 
表明 该 数据 帧 的 目的 主机 和 源 主机 在 同一 广播 域 中 ,不 通过 交换 机 可 以 完成 通信 ,交换 机 将 
丢弃 该 数据 帧 ,否则 ,交换 机 把 该 数据 帧 转发 到 相应 的 端口 。 

交换 机 检查 收 到 的 数据 帧 的 源 MAC 地 址 ,并 查找 MAC 地 址 表 中 与 之 相 匹 配 的 项 。 
如 果 没 有 ,交换 机 将 记录 该 MAC 地 址 和 接收 该 数据 帧 的 端口 ,并 激活 一 个 定时 器 。 这 个 过 
程 称 作 地 址 学 习 ; 如 果 接 收 的 数据 帧 的 源 MAC 地 址 在 地 址 表 中 有 匹配 项 ,交换 机 将 复位 该 
地 址 的 定时 器 。 如 果 交 换 机 不 能 够 正确 学 习 MAC 地 址 , 则 有 可 能 造成 数据 包 丢 失 以 及 泛 
洪 现 象 的 发 生 ,影响 交换 机 的 转发 性 能 。 

局 域 网 交换 技术 是 作为 对 共享 式 局 域 网 提供 有 效 的 网 段 划 分 的 解决 方案 ,可 以 使 用 户 
尽 可 能 地 分 享 到 最 大 带宽 。 交 换 技术 在 OSI 七 层 网 络 模型 中 的 第 二 层 , 即 数据 链 路 层 进 行 
操作 ,交换 机 对 数据 包 的 转发 建立 在 MAC 地 址 基础 上 ,对 于 IP 网 络 协议 来 说 , 它 是 透明 
的 , 即 交 换 机 在 转发 数据 包 时 ,无 须知 道 信 源 机 和 目标 机 的 IP 地 址 ,只 需 知道 其 物理 地 址 。 


3.1.3 路 由 技术 


路 由 是 指 通过 相互 连接 的 网 络 把 信息 从 源 地 点 移动 到 目标 地 点 的 过 程 。 在 路 由 过 程 
中 ,信息 至 少 会 经 过 一 个 或 多 个 中 间 节 点 。 路 由 和 交换 所 实现 的 功能 类 似 。 但 二 者 的 区 别 
是 明显 的 ,交换 发 生 在 OSI 参考 模型 的 第 二 层 ( 即 数据 链 路 层 ) ,而 路 由 发 生 在 第 三 层 ( 即 网 
络 层 ) 。 这 一 区 别 决定 了 路 由 和 交换 在 传输 信息 的 过 程 中 需要 使 用 不 同 的 控制 信息 。 
当 IP 子 网 中 的 一 台 主 机 发 送 IP 分 组 给 同一 子 网 的 另 一 台 主 机 时 , 它 直接 把 IP 分 组 送 
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到 网 络 上 ,对 方 就 能 收 到 ; 当 发 送 给 不 同 子 网 上 的 主机 时 , 它 要 选择 一 个 能 到 达 目 的 子 网 的 
路 由 器 ,把 IP 分 组 传递 给 该 路 由 器 ,由 路 由 器 负责 把 IP 分 组 送 到 目的 地 。 如 果 没 有 这 样 的 
路 由 器 ,主机 就 把 IP 分 组 送 给 一 个 称 为 默认 网 关 的 路 由 器 。 默 认 网 关 是 每 台 主 机 上 的 一 个 
配置 参数 , 它 是 同一 个 网 络 上 的 某 个 路 由 器 端口 的 IP 地 址 。 

同 主机 一 样 ,路 由 器 也 要 判定 端口 连接 的 是 否 为 目的 子 网 ,如 果 是 ,就 直接 把 分 组 通过 
端口 送 到 网 络 上 ,否则 ,也 要 选择 下 一 个 路 由 器 来 传送 分 组 。 路 由 器 也 有 它 的 默认 网 关 , 用 
来 传送 IP 分 组 ,通过 逐 级 传送 ,IP 分 组 最 终 将 送 到 目的 地 ,否则 TP. 分 组 被 网 络 丢 弃 。 

路 由 器 不 仅 负 责 IP 分 组 转发 ,还 需 与 其 他 路 由 器 联络 ,确定 网 络 的 路 由 选择 和 维护 路 
由 表 。 路 由 包含 两 个 基本 的 动作 : 选择 最 佳 路 径 和 通过 网 络 传输 信息 。 在 路 由 过 程 中 ,后 
者 也 称 为 (数据 ) 交 换 。 交 换 相 对 来 说 比较 简单 ,而 选择 路 径 很 复杂 。 

路 径 选择 是 判定 到 达 目 的 地 的 最 佳 路 径 , 由 路 由 选择 算法 来 实现 。 由 于 涉及 不 同 的 路 
由 选择 协议 和 路 由 选择 算法 ,要 相对 复杂 一 些 。 为 了 判定 最 佳 路 径 ,路 由 选择 算法 必须 启动 
并 维护 包含 路 由 信息 的 路 由 表 , 其 中 路 由 信息 依赖 于 所 用 的 路 由 选择 算法 。 

metric 是 路 由 算法 用 以 确定 到 达 目 的 地 的 最 佳 路 径 的 计量 标准 。 路 由 算法 根据 许多 信 
息 来 填充 路 由 表 。 路 由 器 查看 数据 包 的 目的 协议 地 址 后 ,确定 是 否 知道 如 何 转发 该 包 。 如 
果 路 由 器 不 知道 如 何 转发 ,通常 就 将 其 丢弃 ;如 果 路 由 器 知道 如 何 转发 ,就 把 目的 物理 地 址 
变 成 下 一 跳 的 物理 地 址 并 向 其 发 送 。 下 一 跳 可 能 就 是 最 终 的 目的 主机 ,如 果 不 是 ,通常 为 另 
一 个 路 由 器 , 它 将 执行 同样 的 步 又。 


3.1.4 网 络 嗅 探 技术 


3.1.4.1. 嗅 探 技术 简介 


嗅 探 (sniff) 技 术 是 一 种 重要 的 网 络 安全 攻防 技术 。 对 黑客 来 说 ,通过 嗅 探 技 术 能 以 非 
常 隐藏 的 方式 搜 取 网 络 中 的 大 量 敏感 信息 ,与 主动 扫描 相 比 , 嗅 探 行为 更 难 被 察觉 ,也 更 容 
易 操作 。 对 安全 管理 人 员 来 说 ,借助 嗅 探 技 术 , 可 以 对 网 络 活动 进行 实时 监控 ,发 现 各 种 网 
络 攻击 行为 。 嗅 探 技术 最 初 是 作为 网 络 管理 员 检 测 网 络 通信 的 必 备 技术 , 嗅 探 器 (sniffer) 
既 可 以 是 软件 ,又 可 以 是 硬件 设备 。 软 件 嗅 探 器 应 用 方便 ,针对 不 同 的 操作 系统 平台 都 有 多 
种 不 同 的 软件 嗅 探 器 ;硬件 嗅 探 融 通常 称 作协 议 分 析 器 ,价格 一 般 都 很 高 。 

在 局 域 网 中 ,由 于 以 太 网 的 共享 式 特性 决定 了 嗅 探 能 够 成 功 。 因 为 以 太 网 是 基于 广播 
方式 传送 数据 的 ,所 有 的 物理 信号 都 会 被 传送 到 每 一 个 主机 节点 ,此 外 网 卡 可 以 被 设置 成 混 
杂 接 收 模 式 , 这 种 模式 下 ,无 论 监听 到 的 数据 帧 目的 地 址 如 何 , 网 卡 都 能 予以 接收 。 而 
TCP/IP 协议 栈 中 的 应 用 协议 大 多 数 以 明文 在 网 络 上 传输 数据 ,这 些 明 文 数据 中 往往 包含 
一 些 敏 感 信息 (如 密码 、 账 号 等 ) ,使 用 嗅 探 器 可 以 监听 到 所 有 局 域 网 内 的 数据 通信 ,并 得 到 
这 些 敏 感 信息 。 

嗅 探 器 的 隐蔽 性 好 , 它 只 是 被 动 接收 数据 ,不 向 外 发 送 数据 ,所 以 在 传输 数据 过 程 中 根 
本 无 法 觉察 。 嗅 探 器 的 局 限 性 是 只 能 在 局 域 网 的 冲突 域 中 进行 或 者 是 在 点 到 点 连接 的 中 间 
节点 上 进行 监听 。 


3.1.4.2 网 络 嗅 探 器 


网 络 嗅 探 器 在 当前 网 络 技术 中 使 用 得 非常 广泛 。 网 络 嗅 探 器 既 可 以 作为 网 络 故障 的 诊 
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断 工 具 , 也 可 以 作为 监听 工具 。 传 统 的 网 络 嗅 探 技术 是 被 动 地 监听 网 络 通信 用 户 名 和 口 
令 。 而 新 的 网 络 嗅 探 技术 开始 主动 地 控制 通信 数据 。 大 多 数 的 嗅 探 器 至 少 能 够 分 析 标 准 以 
太 网 .TCP/IP、IPX 和 DECNET 等 协议 。 

根据 功能 不 同 , 嗅 探 器 可 以 分 为 通用 嗅 探 器 和 专用 嗅 探 器 。 前 者 支持 多 种 协议 ,如 
tcpdump、Snifferit 等 ;后 者 一 般 针 对 特定 软件 或 提供 特定 功能 ,如 专门 针对 MSN 等 即时 通 
信和 软件 的 嗅 探 器 、 专 门 嗅 探 邮件 密码 的 嗅 探 器 等 。 


3.1.4.3. 嗅 探 技术 分 类 


根据 工作 环境 和 工作 原理 不 同 , 嗅 探 技术 又 可 以 分 为 本 机 嗅 探 .广播 网 嗅 探 和 交换 机 嗅 
探 等 类 型 。 

1. 本 机 嗅 探 

本 机 嗅 探 是 指 在 某 台 计算 机 内 , 嗅 探 程序 通过 某 种 方式 ,获取 发 送 给 其 他 进程 的 数据 包 
的 过 程 。 例 如 , 当 邮 件 客户 端 在 收发 邮件 时 , 嗅 探 程序 可 以 窃听 到 所 有 的 交互 过 程 和 其 中 传 
递 的 数据 。 

2. 广播 网 嗅 探 

广播 网 基于 集线器 (hub) 的 局 域 网 络 , 其 工作 原理 是 基于 总 线 方式 的 ,所 有 的 数据 包 在 
该 网 络 中 都 会 被 广播 发 送 ( 即 发 送 给 所 有 端口 )。 在 广播 网 中 ,每 一 个 网 络 数 据 包 都 被 发 送 
到 所 有 的 端口 ,然后 由 各 端口 所 连接 的 网 卡 来 判断 是 否 需要 接收 ,所 有 目的 地 址 与 网 卡 实际 
地 址 不 符 的 数据 包 将 被 网 卡 驱动 自动 丢弃 ,这 确保 了 广播 网 中 每 台 主 机 只 接收 到 以 自己 为 
目标 的 数据 包 。 

广播 网 嗅 探 利用 广播 网 “共享 ?的 通信 方式 。 在 广播 网 中 所 有 的 网 卡 都 会 收 到 所 有 的 数 
据 包 ,只 要 将 本 机 网 卡 设 为 混杂 模式 ,就 可 以 使 嗅 探 工具 支持 广播 网 或 多 播 网 的 嗅 探 。 

3. 交换 机 嗅 探 

交换 机 的 工作 原理 与 集线器 不 同 , 它 不 再 将 数据 包 转 发 给 所 有 的 端口 ,而 是 通过 分 组 交 
换 的 方式 进行 单 对 单 的 数据 传输 , 即 交 换 机 能 记 住 每 个 端口 的 MAC 地 址 ,根据 数据 包 的 目 
的 地 址 选择 目的 端口 ,只 有 对 应 该 目的 地 址 的 网 卡 能 接收 到 数据 。 

基于 交换 机 的 嗅 探 是 指 在 交换 环境 中 通过 某 种 方式 进行 的 嗅 探 。 由 于 交换 机 基于 分 组 
交换 的 工作 模式 ,因此 ,简单 地 将 网 卡 设 为 混杂 模式 并 不 能 够 嗅 探 到 网 络 上 的 数据 包 ,必须 
采用 其 他 的 方法 来 实现 基于 交换 机 的 嗅 探 。 

4. 端口 镜像 嗅 探 

端口 镜像 也 称 作 巡回 分 析 端 口 (roving analysis por , 它 从 网 络 交 换 机 的 一 个 端口 转发 
每 个 进出 分 组 的 副本 到 另 一 个 端口 ,分 组 将 在 此 端口 进行 分 析 ,端口 镜像 是 监视 网 络 通信 量 
和 通信 内 容 的 一 种 方法 。 网 络 管理 员 将 端口 镜像 作为 一 种 诊断 或 调试 的 工具 ,尤其 是 在 分 
析 网 络 情况 的 时 候 , 它 使 管理 员 能 跟踪 交换 机 的 性 能 并 在 必要 时 对 其 进行 更 改 。 

端口 镜像 是 交换 机 为 调试 预 留 的 功能 。 通 过 端口 镜像 .可 以 将 交换 机 中 任意 端口 的 数 
据 复制 给 镜像 端口 ,通过 端口 镜像 ,本 机 嗅 探 工具 就 可 以 嗅 探 交换 机 上 的 任意 端口 了 。 

基于 端口 镜像 的 嗅 探 受 限 于 交换 机 能 够 支持 的 镜像 功能 ,能 够 镜像 多 少 端口 .镜像 出 来 
的 协议 如 何 都 取决 于 交换 机 的 型 号 和 配置 。 由 于 进行 基于 端口 镜像 的 嗅 探 必须 拥有 交换 机 
的 管理 权限 ,因此 ,基于 端口 镜像 的 嗅 探 往往 是 网 络 管理 员 常 用 的 嗅 探 方式 。 
dB 


5. 通过 MAC 泛滥 进行 交换 机 嗅 探 

这 种 方式 往往 被 攻击 者 使 用 。 网 络 交换 机 为 了 能 够 进行 分 组 交换 ,必须 在 内 部 维护 着 
一 个 转换 表 ,将 不 同 的 MAC 地 址 转换 成 交换 机 上 的 物理 端口 。 由 于 交换 机 的 工作 内 存 有 
限 ,如 果 用 虚假 的 MAC 地 址 对 交换 机 进行 不 断 攻击 ,直到 交换 机 的 工作 内 存 被 占 满 ,交换 
机 就 进入 了 所 谓 的 “打开 失效 ”模式 ,开始 了 类 似 于 集线器 的 工作 方式 ,向 网 络 上 所 有 的 主机 
广播 数据 包 。 在 这 种 情况 下 ,交换 机 嗅 探 就 可 以 同样 采用 广播 网 嗅 探 的 方式 实现 。 


3.1.4.4 嗅 探 的 安防 作用 


1, 网 络 安全 审计 

网 络 审计 是 指 通过 网 络 嗅 探 工具 将 网 络 数据 包 捕获 .解码 并 加 以 存储 ,以 备 后 期 查询 或 
提供 即时 报警 。 通 过 嗅 探 技术 ,网 络 审计 可 以 实现 上 网 行为 审计 、 网 络 违规 数据 的 监控 等 功 
能 。 利 用 网 络 嗅 探 技术 开发 的 网 络 行为 审计 类 软件 是 运行 在 关键 的 网 络 节点 ,对 网 络 传输 
的 数据 流 进 行 合 法 性 检查 的 工具 。 

2. 蠕虫 病毒 的 控制 

采用 嗅 探 技术 ,对 蠕虫 病毒 的 控制 可 起 到 以 下 作用 : 

(1) 基于 网 络 嗅 探 的 流量 检测 ,及 时 发 现 网 络 流量 异常 ,并 根据 已 经 建成 的 流量 异常 模 
型 初步 判断 出 网 络 蠕虫 病毒 爆发 的 前 兆 。 

(2) 基于 网 络 嗅 探 的 网 络 协议 分 析 , 进 一 步 确认 蠕虫 病毒 的 发 作 , 并 及 时 给 出 预警 
信息 。 

(3) 基于 网 络 嗅 探 技术 的 蜜 饶 ,尽早 捕获 蠕虫 病毒 的 样本 ,并 通过 对 其 进行 详细 的 分 
Vr ,制定 出 有 效 的 防御 方案 和 清除 方案 。 

(4) 通过 基于 网 络 嗅 探 技术 的 人 侵 检 测 ,能 够 准确 定位 局 域 网 络 中 的 蠕虫 病毒 传播 源 ， 
从 而 及 时 扼杀 病毒 蠕虫 的 传播 行为 。 

3. 网 络 布控 与 追踪 

针对 网 络 犯罪 ,如 黑客 和 人 侵 , 拒 绝 服务 攻击 等 ,通过 嗅 探 技 术 进 行 追踪 ,协助 执法 部 门 定 
位 网 络 犯罪 分 子 。 现 代 网 络 犯罪 往往 采用 跳板 进行 , 即 通过 一 台中 间 主 机 进行 网 络 攻击 和 
犯罪 活动 ,这 对 犯罪 分 子 的 捕获 造成 了 很 大 的 障碍 ,而 嗅 探 技术 可 以 有 效 地 帮助 执法 人 员 解 
决 这 一 问题 。 

网 络 追 踪 是 针对 伪造 IP 地 址 攻击 的 一 种 追查 方法 。 由 于 网 络 攻击 往往 采用 虚假 的 TP 
地 址 (特别 是 大 规模 的 拒绝 服务 攻击 ) ,因此 ,从 被 攻击 机 嗅 探 获取 的 数据 无 法 直接 判断 攻击 
源 ,需要 采用 移动 的 网 络 嗅 探 器 ,以 溯源 的 方式 从 终点 逐个 前 溯 ,直到 发 现 攻击 的 起 源 点 。 

当 发 现 某 网 络 犯罪 行为 是 通过 中 间 跳 板 主机 进行 时 ,和 暂时 不 对 该 主机 进行 明显 的 操作 ， 
而 是 运行 网 络 嗅 探 器 对 其 进行 24 小 时 的 监控 ,一 旦 犯罪 分 子 远 程 登录 该 主机 ,网 络 嗅 探 器 
就 会 记录 该 犯罪 分 子 的 IP 地 址 ,从 而 协助 定位 和 追踪 。 目 前 ,国内 已 经 有 多 例 通过 网 络 布 
控 和 追踪 的 方式 抓获 犯罪 分 子 的 案例 ,其 中 也 往往 涉及 嗅 探 技 术 的 应 用 。 

4. 网 络 取证 

基于 嗅 探 的 网 络 取证 工具 可 以 运行 在 需要 取证 的 犯罪 分 子 所 使 用 的 计算 机 上 (如 个 人 
电脑 或 公共 场所 的 电脑 ) ,并 可 以 将 该 犯罪 分 子 的 网 络 行为 (如 邮件 .聊天 信息 和 上 网 记录 
等 ) 加 以 实时 记录 ,从 而 协助 案件 的 侦破 和 起 诉 证 据 的 获取 。 为 了 确保 利用 嗅 探 工具 所 获得 
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的 网 络 证据 具 备 不 可 算 改 性 ,网 络 取证 工具 中 还 需要 内 置 数 字 签 名 工具 ,防止 操作 人 员 人 为 
修改 或 误 删 数字 证 据 。 

嗅 探 技 术 在 黑客 攻防 技术 及 信息 安全 体系 建设 中 都 起 到 了 非常 重要 的 作用 ,而 反 嗅 探 
技术 也 是 确保 网 络 私密 性 的 关键 之 一 。 同 时 嗅 探 技术 在 网 络 安全 管理 工作 中 也 很 有 用 。 但 
是 ,在 进行 嗅 探 技 术 的 合法 应 用 的 同时 ,还 需要 关注 嗅 探 技术 滥用 带 来 的 泄密 和 侵犯 个 人 隐 
私 问题 。 在 未 来 , 随 着 网 络 技术 的 发 展 , 嗅 探 技 术 和 反 嗅 探 技 术 还 将 不 断 进步 ,目前 在 高 速 
化 、 可 视 化 针对 加 密 的 嗅 探 和 无 线 切入 技术 4 个 方向 上 都 可 以 见 到 新 技术 的 出 现 。 


3.2 网 络 分 析 实 验 


3.2.1 Sniffer Pro 简介 


Sniffer Pro 软件 是 NAI 公司 推出 的 功能 强大 的 协议 分 析 软 件 。 利 用 Sniffer Pro 网 络 
分 析 器 的 强大 功能 和 特征 能 够 解决 很 多 网 络 问题 。 本 教材 使 用 的 软件 版 本 为 Sniffer Pro_4_ 
70_530。 

Sniffer Pro 软件 的 主要 作用 体现 在 以 下 方面 : 

(1) Sniffer Pro 可 以 评估 业务 运行 状态 ,如 各 种 应 用 的 响应 时 间 、 一 个 操作 需要 的 时 
TR] ,应 用 带宽 的 消耗 ,应 用 的 行为 特征 和 应 用 性 能 的 瓶颈 等 。 

(2) Sniffer Pro 能 够 评估 网 络 的 性 能 ,如 各 链 路 的 使 用 率 、 网 络 性 能 趋势 .消耗 最 多 带 
宽 的 具体 应 用 、 消 耗 最 多 带宽 的 网 络 用 户 、 各 分 支 机 构 流 量 状况 和 影响 网 络 性 能 的 主要 
因素 。 

(3) Sniffer Pro 可 以 快速 定位 故障 ,其 中 的 monitor expert 和 decode 等 功能 都 可 以 用 
来 快速 定位 故障 。 

(4) Sniffer Pro 可 以 排除 潜在 的 威胁 ,如 病毒 .木马 .扫描 等 ,并 且 发 现 攻击 的 来 源 ,为 
控制 提供 根据 ,对 蠕虫 等 对 网 络 影响 大 的 病毒 有 效 。 作 为 即时 监控 工具 ,Sniffer Pro 通过 发 
现 网 络 中 的 行为 特征 来 判断 网 络 是 否 有 异常 流量 ,所 以 Sniffer Pro 可 能 比 防 病毒 软件 更 快 
发 现 病毒 。 

(5) Sniffer Pro 可 以 做 流量 的 趋势 分 析 , 通 过 长 期 监控 ,可 以 发 现 网 络 流量 的 发 展 趋 
势 ,为 将 来 网 络 改造 提供 建议 和 依据 。 

(6) 应 用 性 能 预测 Sniffer Pro 能 够 根据 捕获 的 流量 分 析 一 个 应 用 的 行为 特征 ,可 以 
提供 量化 的 预测 ,准确 率 较 高 ,误差 不 超过 10% 。 

Sniffer Pro 包括 了 四 大 功能 : 监控 (monitor)、 显 示 (display) . AHH 4 HH HE (capture) Fil 
LRA KBE (expert). 


3.2.2 程序 安装 实验 
实验 器 材 


Sniffer Pro 软件 系统 ,1 套 。 
PC( Windows XP/Windows 7).1 4. 
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预习 要 求 


做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
熟悉 实验 过 程 和 基本 操作 流程 。 
做 好 预习 报告 。 


实验 任务 


通过 本 实验 掌握 以 下 技能 : 
(1) 学 会 在 Windows 环境 下 安装 Sniffer Pro, 
(2) 能 够 运用 Sniffer Pro 捕获 报 文 。 


实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 系统 。 
预备 知识 

(D) TCP/IP 原理 及 基本 协议 。 

(2) 数据 交换 技术 概念 及 原理 。 

(3) 路 由 技术 及 实现 方式 。 

实验 步骤 


按照 常规 安装 方法 双击 Sniffer Pro 软件 的 安装 图 标 , 按 安装 向 导 的 提示 进行 安装 (如 
图 3. 2. 1 所 示 )。 本 教材 选用 的 软件 版 本 为 Sniffer Portable 4.7.5。 


Welcome to the InstallShield Wizard 
for Sniffer Portable 4.7.5 


The InstallShield Wizard(TM) will help install Sniffer Portable 
4.7.5 on your computer. To continue, dick Next. 


图 321 软件 安装 界面 


如 图 3. 2. 2 所 示 ,在 选择 Sniffer Pro 的 安装 目录 时 ,默认 安装 在 C:\Program Files\ 
NAI\SnifferNT 目录 中 ,为 了 更 好 地 使 用 该 软件 ,建议 用 默认 路 径 进行 安装 。 
在 注册 用 户 时 ,需要 填写 必要 的 注册 信息 。 在 出 现 的 Sniffer Pro User Registration 的 
2 d 


Setup will install Sniffer Pro in the following folder. 
To install to this folder, click Next. 


To install to a different folder. click Browse and select another 
folder. 


‘You can choose not to install Sniffer Pro by clicking Cancel to 


exit Setup. 


Destination Folder 


le Program Files\NAI\SnifferNT Browse... 


322 安装 目录 选择 界面 


3 个 对 话 框 中 依次 填写 个 人 信息 ,如 图 3. 2. 3 所 示 ,注意 最 后 一 行 的 Sniffer Serial Number 
需要 填 人 软件 购买 时 提供 的 注册 码 。 


^, * Elease let us know where you fifagazine ad 可 


I | heard about this product. 


| * Sniffer Serial Number [ 


" 
Do you wish to receive fe sl 
announcements about this 
product? " 
May we share your name with Yo Jg 
other companies that use NAI 
Products? | 
i 
| 


«r—»e[r—5o»]| — má || 


图 323 用 户 注册 界面 


如 图 3.2.4 所 示 , 完 成 注册 操作 后 ,需要 设置 网 络 连接 状况 。 从 上 至 下 ,依次 有 3 个 选 
项 ,分 别 表示 “直接 连接 ”“ 通 过 代理 服务 器 连接 ”和 "“ 拨 号、 传真 或 无 连接 ”"。 一 般 情况 下 ,用 
户 直 接 选 择 第 一 项 Direct Connection to the Internet。 

如 图 3.2.5 所 示 , 若 通过 代理 服务 器 连接 , 则 需要 输入 代理 服务 器 地 址 ,用户 名 和 账号 
等 信息 。 

接 下 来 系统 会 自动 定位 并 连接 到 最 近 的 网 络 服务 器 Mercury. nai. com ,完成 必要 的 注 
册 信 息 提 交 和 注册 码 认证 工作 。 当 用 户 的 注册 信息 验证 通过 后 ,系统 会 转 人 图 3. 2. 6 所 示 
的 界面 ,用 户 被 告知 系统 分 配 的 身份 识别 码 ,以便 进行 后 续 的 服务 和 咨询 。 

如 图 3.2.7 所 示 , 此 时, 单 击 * 下 一 步 ? 按 钮 时 ,系统 会 提示 用 户 保存 关键 性 的 注册 信息 ， 
并 生成 一 个 文本 格式 的 文件 Registration Summary. txt。 该 文件 主要 包括 以 下 几 个 重要 部 
分 ,详细 内 容 可 参照 图 3. 2. 8。 

s 5 s 


If you ere connecting to the Internet through 
dial-up networking, you may wish to connect now. 


If you ere connecting over a local area network, you 
may need to connect through a proxy. Please consult 
your system administrator. 


If you are unable to connect to the Internet, your 
registration information can be printed and saved. 


(C Connection to the Internet through a Proxy 


Configure 


(C Not connected to network or dial-up. 
Print & fax option. 


«E-5o 取消 


to the Internet through 


n - u may wish to connect now. 


pue eene over a local area network, you 


Use HITP proxy at [rou e proxy. Please consult 
or. 


iunge to the Internet, your 
on can be printed and saved. 


Password: 


[nternet through a Proxy 
Configure 
Your user name and password will not 


be stored. 


twork or dial-up. 


图 325 代理 服务 器 设 定 界 面 


[A Sniffer Pro User Registration =x 


[V] Locating nearest server 

[V] Connecting to service 

[V] Updating customer information 

[V] Communication with server complete 
[V] Cleaning up communications 


Status: 


egistration complete! 
our customer identification number is 3168111. 
lease make a note of this value for future 
eference. 


图 326 注册 信息 验证 界面 
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B Sniffer Pro User Registration 


Registration Results: 


User Registration Information 


t) > 


Registration complete! 
our customer identification number is 3168111. 
Please make a note of this value for future refe 


(Contact Info Network Associate 下 


[^ Display product information from the World Wid 


Finish 取消 


327 注册 信息 保存 提示 


[eer Registration Information 


[ad complete! 
"Your customer identification number is 3168111. 
|Please make a note of this value for future reference. 


Contact Info ites Associates 
| ht 
Phone # (408) 988-3832 


[Product Sniffer Pro 
Customer ID 3168111 
{Name tmp tmp 
[Company temp 
Title test 
Hailing Address random 
= < Other > 000000 


Phone Number 000. 000. 0000000000 
[Fax Number 


Receive Announcements No 
‘Share Name No 
[Sniffer Registration SA154-2558Y-255T9-2LASH 


E-Mail Address xxx@163. com 
[System ID 3ADD4972-0C41-4746- 
i B10D-5BCBDBF80D2A 


图 328 注册 文件 内 容 


。 用 户 身份 识别 码 (Customer Identification Number). 
服务 器 连接 信息 (Contact Info)。 
。 用 户 填 写 的 身份 注册 信息 (Product Sniffer Pro) 。 
由 于 Sniffer Pro 软件 的 运行 环境 需要 Java 环境 支撑 ,因此 ,在 软件 使 用 前 ,安装 程序 会 
提示 用 户 安装 并 设置 Java 环境 (如 图 3. 2.9 所 示 )。 
接 下 来 ,系统 在 完成 关键 文件 复制 和 安装 的 工作 后 ,会 出 现 Setup Complete 提示 ,由 于 
«152. s 


r 
Java[tm] Runtime Environment 1.6.0 16 Standard Edition 


欢迎 使 用 Sun Microsystems, Inc. 的 Javaltm] 技术 ! qe Sun 


crosystems 


(SGM SEE Java 软件 。 在 使 用 之 前 , 您 必须 同意 以 下 的 许可 证 协议 。 


SUN MICROSYSTEMS, INC. e 
二 进 制 代码 许可 协议 国 


JAVA SE RUNTIME ENVIRONMENT (JRE) VERSION 6 和 JAVAFX RUNTIME VERSION 
1 


SUN MICROBYSTEMS, INC. (“SUN”) 愿意 授予 您 许可 证 ， 许 可 您 使 用 下 述 软件 ， 但 条 
件 是 您 必须 接受 本 二 进 制 代码 许可 协议 的 所 有 条 款 以 及 增补 许可 条 款 (统称 “协议 ") ~ 


€ 我 同意 (入), 请 继续 运行 Sun Microsystems, Inc. 的 Java 技术 。 
C 我 不 同意 (D), 请 停止 运行 Java 技术 。 


Ce] 


329 设置 Jaa 环 境 


Sniffer Pro 需要 将 网 卡 的 监听 模式 切换 为 混杂 模式 ,所 以 需要 重新 启动 计算 机 来 完成 网 卡 
的 工作 模式 切换 , 当 软 件 提 示 重 新 启动 计算 机 时 ,按照 提示 操作 即 可 。 

重新 启动 计算 机 后 ,可 以 通过 运行 Sniffer Pro 来 监测 网 络 中 的 数据 包 。 通 过 “开始 ”一 
“程序 ”>Sniffer Pro>Sniffer 来 启动 程序 。 在 进入 主 界面 后 ,首先 要 配置 监听 网 卡 。 一 般 
情况 下 ,Sniffer Pro 初次 运行 时 会 自动 选择 机 
器 网 卡 进 行 监听 。 如 果 本 地 计算 机 有 多 个 网 m—-: 


卡 , 则 需要 手工 指定 。 具 体 方法 如 下 : 选择 临 听 的 网 络 接口 : G) 
CD 选择 软件 主 界面 菜单 “文件 ”(File) 一 Dmna RTLB139 Family PCI F a] 
iR) 
“ 选 定 设置 ”(Select Settings) MA. me 
(2) 在 “当前 设置 ”对 话 框 中 选择 监听 的 网 ) LN is E 


卡 , 同 时 勾 选 Log Off 复 选 框 , 单 击 “ 确 定 ” 按 | amean: pommes 
钮 ,如 图 3. 2. 10 所 示 。 

(3) 如 果 存 在 多 个 网 卡 , 则 需要 确定 最 终 
的 监听 网 卡 , 如 图 3.2. 11 所 示 。 


— ë N 


Select Settings | 


图 3210 设置 提示 


Select settings for monitoring: 


Nev... | 


Realtek PCIe FE Family Controller 1 


\Device\Sniffer_{D9BC784B-CE81-43F1 Edit... 


| B9 ADeviceXSniffer [D1963F14-5F32-4A3: 


Delete... | 


I Log Off 


——_ 


Current medium 
Line. 


m 
E3211 多 网 卡 设置 提示 
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完成 上 述 操作 后 ,就 可 以 使 用 Sniffer Pro 对 目标 主机 进行 网 络 监 听 , 如 图 3. 2. 12 所 
示 ,快捷 操作 功能 主要 包括 报 文 捕获 及 网 络 性 能 监视 。 主 要 监控 目标 机 器 的 网 络 流量 和 错 
误 数 据 包 情况 。 主 要 的 参考 信息 包括 网 络 使 用 率 (utilization) 数据 包 传 输 率 (packets/s) 和 
错误 数据 情况 (errors/s)。 


»| u| mtaa) | eu adl 
PI ESESESESESESESE TESZEZ ES E: 
A| 2| e| wl 


图 3212 快捷 操作 菜单 


。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 


思考 题 


(1) 网 卡 的 工作 模式 有 几 种 ? 
(2) 监听 模式 的 具体 工作 情况 。 


3.2.3 数据 包 捕 获 实验 
实验 器 材 


Sniffer Pro 软件 系统 ,1 套 。 
PC( Windows XP/Windows 7).1 #. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 熟悉 实验 过 程 和 基本 操作 流程 。 
(3) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,熟练 掌握 Sniffer Pro 数据 包 捕 获 功 能 的 使 用 方法 。 

实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 系统 。 
预备 知识 


(1) 数据 交换 技术 的 概念 及 原理 。 
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(2) 路 由 技术 及 实现 方式 。 
Sus Ap UE 


1. 报 文 捕获 

数据 包 捕获 (capture) ,是 将 所 有 的 数据 包 截取 并 放 在 磁盘 缓冲 区 中 ,以 便于 分 析 。 其 
基本 原理 就 是 通过 软件 手段 设置 网 络 适配器 (NIC) 的 工作 模式 ,在 这 种 模式 下 网 卡 接 收 所 
有 的 数据 ,达到 网 络 监控 和 网 络 管理 的 功能 。 - 

"VQ—""—"— T " JE EI 
次 为 开始 .暂停 .停止 .停止 并 显示 显示、 定义 过 滤器 以 “图 32f 捕获 报 文 快捷 操作 按钮 
及 选择 过 滤器 ,一 般 情况 下 ,选择 默认 的 捕获 条 件 。 

Sniffer Pro 在 启动 后 ,一 般 处 于 脱 机 模式 。 在 捕获 报 文 之 前 ,需要 进入 记录 模式 ,通过 
选择 “文件 "菜单 下 的 “记录 于 ”来 启动 网 卡 的 监听 模式 。 也 可 以 通过 “ 选 定 设置 " 勾 选 Log 
On/Off 来 完成 上 述 操 作 。 此 时 ,可 根据 需要 进行 局 域 网 的 回环 测试 。 选 择 “ 捕 获 ” 菜 单 下 的 
“开始 "或 直接 单 击 捕获 快捷 按钮 中 的 “开始 "按钮 ,系统 会 开始 进行 网 络 报 文 的 捕获 。 

在 捕获 过 程 中 ,选择 快捷 菜单 中 的 “捕获 面板 ”命令 或 选择 “捕获 ”菜单 下 的 “捕获 面板 ” 
命令 ,可 以 随时 查看 捕获 报 文 的 数量 以 及 数据 缓冲 区 的 利用 率 , 如 图 3. 2. 14 所 示 。 

左 侧 仪 表 显示 系统 当前 捕获 到 的 报 文 数量 , 右 侧 仪表 显示 捕获 报 文 的 数据 缓冲 区 大 小 。 
此 外 ,还 可 以 选择 “细节 ”功能 ,查看 详细 的 统计 信息 ,如 图 3. 2. 15 所 示 。 


joo 1k 


A324 报 文 捕获 面板 图 3215 报 文 捕获 统计 信息 


捕获 到 的 报 文 存 储 在 缓冲 区 内 。 使 用 者 可 以 显示 和 分 析 缓 冲 区 内 的 当前 报 文 ,也 可 以 
将 报 文保 存 到 磁盘 ,加 载 和 显示 之 前 保存 的 报 文 信 息 ,进行 离线 分 析 和 显示 。 

整个 捕获 过 程 受 “定义 过 滤器 ”的 约束 ,选择 “捕获 ”菜单 下 的 “定义 过 滤器 ”命令 ,选择 
“缓冲 ”选项 卡 ,对 捕获 缓冲 区 进行 设置 。 

首先 ,缓冲 区 的 大 小 由 用 户 自 定义 ,根据 实际 主机 的 内 存 容 量 进行 调整 。 缓 冲 区 设置 过 
大 容易 造成 软件 运行 延迟 。 

其 次 ,数据 包 大 小 应 选择 适度 ,截取 部 分 数据 包 能 够 节省 磁盘 空间 ,保证 网 络 通信 流畅 ， 
避免 丢失 帧 。 

值得 一 提 的 是 , 当 禁 止 “ 保 存 到 文件 ”选项 时 ,可 以 选择 当 缓 冲 区 满 时 停止 捕获 还 是 覆盖 
缓冲 区 中 原 有 数据 。 

此 外 ,也 可 以 通过 指定 文件 名 前 级 和 脱 机 文件 数 对 捕获 信息 进行 存储 ,如 图 3. 2. 16 
所 示 。 

以 上 介绍 的 是 基本 捕获 方式 , 若 需 要 捕获 特定 主机 或 工作 站 的 数据 包 , 可 以 通过 选择 
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摘要 | 地 址 | 数据 模式 | 高级。 =F | 
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图 3216 捕获 缓冲 区 设置 


“监视 器 ”菜单 的 “主机 列表 ”命令 查看 主机 信息 ,并 单 击 单个 主机 进行 数据 包 捕获 。 

2. RAM 

为 了 有 效 地 进行 网 络 分 析 , 需 要 借助 于 专家 分 析 系 统 。 首 先 ,应 根据 网 络 协议 环境 对 专 
家 系统 进行 配置 。 选 择 “ 工 具 ” 菜 单 中 的 “专家 选项 ”命令 ,出 现 Expert UI Object 属性 对 话 
框 ,如 图 3.2.17 所 示 。 


Subnet Masks | RIP Options 802.11 Options — | 
Objects | Protocols 


Pop AT St 


512K 

312k 

696K 

8.848 
stripes Total Est Memory: 32,897K 
家 分 析 系 统 so NI RT 
专家 分 析 系 统 Resoting Rate [sec] 加 we pay 
重用 


A327 专家 选项 设置 


专家 系统 的 配置 能 够 帮助 分 析 人 员 专 注 于 特定 问题 ,通过 排除 某 些 系统 层 数 据 ,捕获 到 
网 络 分 析 所 需 的 特定 通信 量 。 同 时 ,根据 每 层 对 象 所 需 的 内 存 容 量 来 创建 每 个 系统 层 的 最 
大 对 象 数 。 
。 在 设置 中 ,Recycle Expert Objects( 专 家 系统 重用 ) 选 项 定义 当 内 存 不 足 时 专家 系统 
需要 进行 的 操作 , 即 是 覆盖 原 有 数据 来 创建 新 对 象 (选中 时 ) ,还 是 停止 创建 对 象 ,对 
已 有 数据 进行 分 析 ( 未 选中 时 ) 。 
。 默认 情况 下 , 当 数 据 包 捕获 开始 时 ,专家 系统 就 开始 分 析 进 入 缓冲 区 的 数据 包 ,并 在 


. 56 。 


窗口 中 实时 显示 ,用户 可 以 在 捕获 的 同时 分 析 网 络 对 象 及 症状 ,并 作出 诊断 。 用 户 
也 可 以 选择 禁用 实时 分 析 功 能 (未 选中 ) 。 
指定 可 创建 的 最 大 警报 数 。 当 达到 最 大 警报 数 时 ,专家 系统 会 覆盖 最 早 最 低级 别 的 
警报 (选中 ) 或 者 停止 创建 警报 。 
Data Update Rate 用 于 设置 专家 系统 显示 的 刷新 频率 , Resorting Rate 用 于 设置 专 
家 系统 数据 分 析 到 摘要 显示 操作 之 间 的 延迟 。 
对 于 专家 系统 的 警报 国 值 ,可 以 通过 选择 “工具 ”菜单 下 的 “专家 选项 ”命令 ,在 弹出 
的 对 话 框 中 选择 Alarms 选项 卡 进行 设置 。 

值得 注意 的 是 ,系统 默认 的 阔 值 都 是 经 过 精确 计算 的 ,可 保证 系统 进行 诊断 和 问题 检测 
的 需求 。 如 果 对 阔 值 进行 修改 ,可 能 会 导致 系统 判断 失误 或 运行 错误 。 如 图 3. 2. 18 所 示 ， 
对 于 每 一 个 系统 层 存 在 多 个 症状 诊断 的 警报 阔 值 信息 。 


Subnet Masks | RIP Options l 802.11 Options | 
Objects Alarms | Protocols | 


-E| DB Security Breach Attempt 


Critical/Diag 
Alarm Logged Yes 


Fr = j 取消 F ERA | 帮助 
Rae 专家 系统 阔 值 设置 


对 于 各 类 网 络 协议 ,用户 可 以 进行 选择 性 监听 和 分 析 。 在 对 话 框 中 选择 Protocols 选项 
卡 , 如 图 3. 2. 19 所 示 ,可 按照 系统 分 析 层 对 各 协议 选择 Yes 或 No. 


9 


Subnet Masks | REP Options | — 802.11 Options | 
Objects Alarms Protocols 


IEEE802 11 
Token Ring 
XX 


取消 mo) | mem 
图 3219 指定 分 析 协 议 设 置 
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此 外 , 当 网 络 使 用 了 不 规范 的 子 网 掩 码 时 ,可 以 选择 Subnet Masks 选项 卡 进行 更 改 。 

在 专家 系统 中 还 为 用 户 提供 了 用 于 检测 路 由 故障 的 路 由 信息 协议 分 析 (RIP), 通 过 分 
析 所 捕获 报 文 的 路 由 选择 协议 来 构建 路 由 表 并 显示 。 专 家 系统 通常 会 发 现 网 络 上 的 默认 路 
由 器 ,同时 构建 一 条 通 向 网 关 的 默认 静态 路 由 。 如 果 选 择 使 用 RIP 分析 方 式 , 则 需要 在 RIP 
Options 选项 卡 中 将 连接 层 和 应 用 层 定义 为 “分 析 ”, 如 图 3. 2. 20 所 示 。 


Dbjects | Alarms 1 Protocols | 
Subnet Nasks RIP Options | 802.iloptions | 


BWA iT: Pete [Soa [miss [Watan | Act Rode ss lee 
网络 路 由 由 ame ANC 
Subnet [Sauce [Guedes] aditu TETANEN 


码 以 及 删除 子 网 


Delete 


apnea 
络 中 的 子 网 


[we ] mw | emo | wm | 
图 3220 指定 分 析 协 议 设置 


在 专家 系统 属性 设置 中 ,还 特别 设 定 了 用 于 无 线 网 络 分 析 的 选项 。 在 启用 欺诈 AP 查 
找 的 选项 后 ,专家 系统 就 会 对 访问 主机 的 MAC 地 址 和 选项 中 已 存 地 址 进行 比较 ,一 旦 出 现 
异常 就 会 生成 警报 。 

通过 “显示 ”菜单 “显示 设置 "命令 ,可 以 自 定义 要 显示 的 分 析 内 容 , 如 图 3. 2. 21 所 示 ， 
主要 包括 如 下 几 个 方面 : 


[2 oa 
mu X. 


ib o 摘要 显示 | 协议 颜色 | 协议 使 详 诉 | 解码 字体 | 


显示 专家 症状 
口 显示 全 部 的 层 
回 显示 网 络 地 址 
回 显示 在 fac 地 址 中 的 厂商 世 
回 在 网 络 地 址 上 的 名 称 解析 


排除 的 协议 Œ) 
3+ n 
|3Com NBP (3 
802.11 Wireless LAN 

|802. 1X 

je02. 1-08 =i 


图 3221 摘要 显示 设置 


。“ 普 通 ” 设 置 ,可 以 显示 或 隐藏 “主机 列表 ”“ 和 矩阵 ”“ 协 议 分布 "“ 统 计数 据 ” 等 。 
。“ 摘 要 显示 ”可 以 定义 具体 显示 的 专家 症状 、 系 统 层 等 内 容 。 
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“。“ 协 议 颜 色 ”, 可 以 改变 显示 协议 所 使 用 的 字体 颜色 。 
。“ 协 议 使 详 诉 ”, 可 以 设置 每 个 协议 的 详细 显示 设置 。 


。“ 解 码 字 体 ”, 可 以 更 改 “ 解 码 ” 显 示 中 文本 字体 类 型 .颜色 和 大 小 。 
具体 摘要 显示 选项 及 状态 标志 如 表 3. 2. 1 和 表 3. 2.2 所 示 。 


表 3.2.1 摘要 显示 选项 说 明 
显示 选项 启用 功能 描述 

显示 专家 症状 为 每 个 帧 显示 所 发 现 的 上 一 个 症状 

显示 全 部 的 层 显示 帧 中 所 包含 的 协议 层 , 每 个 协议 层 一 行 

显示 网 络 地 址 显示 为 网 络 地 址 ,否则 为 硬件 地 址 

显示 在 MAC 地 址 中 的 厂商 ID 在 MAC 地 址 的 开头 部 分 显示 供应 商 名 称 

在 网 络 地 址 上 的 名 称 解 析 显示 网 络 地 址 的 名 称 ,而 不 是 数字 地 址 

地 址 簿 解析 名 称 如 果 工 作 站 在 地 址 短 中 已 命名 , 则 显示 其 名 称 而 不 是 地 址 

二 进 制 格式 显示 表示 为 两 个 窗口 ,以 显示 工作 站 之 间 的 通信 情况 

可 选择 区 域 

状态 当 数 据 包 出 现 异 常 时 ,显示 异常 状态 标志 ,如 表 3. 2. 2 所 示 

绝对 时 间 显示 收 到 帧 的 时 间 

Delta 时 间 显示 当前 帧 和 上 一 帧 之 间 的 时 间 间 隔 

相对 时 间 显示 当前 帧 和 标记 帧 之 间 的 时 间 间 隔 

Len( 字 节 ) 显示 帧 的 长 度 

累计 的 字 节 显示 从 标记 帧 开始 到 当前 帧 的 所 有 帧 的 长 度 

表 3.2.2 状态 标志 说 明 

状态 标志 状态 描述 状态 标志 状态 描述 

M 数据 包 已 标记 帧 不 全 数据 包 小 于 64B, 无 CRC 错误 
A 数据 包 是 端口 A 捕获 到 的 分 段 数据 包 小 于 64B, 有 CRC 错误 
B 数据 包 是 端口 B 捕获 到 的 超大 数据 包 大 于 1518B, 无 CRC 错误 
# 数据 包 存 在 症状 ,或 显示 具体 诊断 内 容 | 冲突 数据 包 由 于 冲突 而 损坏 
触发 器 | 数据 包 是 一 个 数据 触发 器 对 齐 数据 包 长 度 不 是 8 的 整数 倍 
CRC 具有 CRC 错误 ,大 小 正常 的 数据 包 地 址 重复 在 环 中 有 地 址 冲突 

超 长 具有 CRC 错误 ,大 小 超 长 的 数据 包 帧 复制 目的 主机 未 收 到 数据 包 


在 专家 系统 的 解码 显示 窗口 中 ,可 以 通过 “显示 ?菜单 下 的 “查找 帧 ”命令 来 获得 特 


的 信息 ,查找 帧 ”包含 4 个 选项 : 
。 文本 , 即 搜索 包含 特定 文本 字符 信息 的 帧 。 
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。 数据 , 即 搜索 包含 特定 数据 模式 的 帧 。 

。 状态 ,允许 搜索 具有 特定 状态 标志 的 帧 。 

。 专家 系统 ,人 允许 搜索 与 特定 专家 系统 症状 或 诊断 关联 的 帧 。 

专家 分 析 系 统 能 够 对 缓冲 区 内 的 数据 包 进 行 综合 分 析 ,将 捕获 内 容 按照 服务 .应 用 、. 连 
Be .工作 站 .路 由 和 子 网 等 类 别 进行 分 类 统计 ,并 对 存在 安全 隐患 和 问题 的 服务 或 连接 进行 
分 析 ,给 出 确切 的 结论 。 对 于 问题 内 容 , 将 注 明 其 所 属 层次 (Layer) .诊断 方式 (Diagnoses)、 
基本 征兆 (Symptoms) 和 目标 (Objects) 。 

专家 分 析 平 台 可 以 对 网 络 流量 进行 实时 分 析 , 并 提供 客观 翔实 的 诊断 结果 。 主 要 包括 
“专家 分 析 系 统 ”“ 解 码 系统 ”“ 和 矩阵 ?“ 主 机 列表 “协议 列表 ”以 及 “统计 分 析 系 统 ”, 只 要 
单 击 “ 停 止 并 显示 ”按钮 就 可 以 查看 具体 的 网 络 分 析 数 据 , 如 图 3. 2. 22 所 示 。 


Ahi 
DID 


ci Frotocoibet. eter Ei 


图 322 报 文 捕获 显示 界面 


通过 专家 分 析 平 台 可 以 捕获 在 网 络 会 话 过 程 中 存在 的 各 类 潜在 问题 。 这 些 问题 被 定义 
为 症状 或 诊断 。 

。 症状 : 网 络 会 话 情况 超过 专家 设 定 阔 值 , 表 示 网 络 存在 潜在 问题 。 

。 诊断 : 多 个 一 起 分 析 的 症状 或 复发 率 较 高 的 特定 症状 ,对 于 诊断 必须 立即 检查 。 

。 专家 系统 分 类 信息 : 显示 网 络 各 个 分 析 层 ,其 层次 性 与 OSI 层次 模型 相 类 似 。 

。 专家 系统 摘要 信息 : 根据 “摘要 显示 ” 设 定 的 各 层 显 示 数 据 。 

对 于 某 项 统计 分 析 可 以 通过 双击 来 查看 对 应 记录 的 详细 统计 信息 ,如 图 3. 2. 23 所 示 。 
对 于 每 一 项 记录 都 可 以 通过 查看 帮助 的 方式 来 了 解 产 生 的 原因 。 

3. 解码 分 析 

单 击 专家 系统 窗口 下 方 的 “解码 ?按钮 ,就 可 以 对 具体 的 记录 进行 解码 分 析 , 如 图 3. 2. 24 
所 示 。 页 面 自 上 而 下 由 3 部 分 组 成 : 捕获 的 报 文 、 解 码 后 的 内 容 以 及 解码 后 的 二 进 制 编码 
信息 。 

对 于 解码 分 析 人 员 来 说 ,只 有 充分 掌握 各 类 网 络 协议 ,才能 看 懂 解 析出 来 的 报 文 。 要 能 
够 利用 软件 解码 分 析 来 解决 问题 ,关键 是 要 对 各 种 层次 的 协议 有 充分 的 了 解 。 


* 60° 


H , 4733 VLE PI 
EXE 
E 
"EE al |g 
[SC [113 31.30. 140] 
E coormsrsce: 日 
Sy [222 27.254.174] 
E TUM UXORES Ns 
XC Res | H 
TE Adress 4 
REED n 系统 详 
ro IES Afi 
Fragments Wissing |O ju SH EAS 


Response Tines 


sponse Tins 


Response Time 


[REED 


Average Response Time 


Semia ] 


pers 


图 3223 报 文 详细 信息 


RETE 解码 , 


1/4133 UL PME 


[124.115.3.146]| [222.27 254. 174| TCP. 
[222.27,254.174| [124.115 3.146] | TCP 
[121.14.97.178]|[222.27.254.174| TCP 
1222:27 254.178 [121.14.97.178] TCP 


D) TCP: Source port = 443 (Https) 
Dj TCP: Destination port * 2815 
i) TCP: Sequence number = 2748361914 
TCP: Next expected Seq number= 2748363362 
E) TCP: Acknowledgnent number = 4166184381 
B) TCP: Data offset = 20 bytes 
TCP: Reserved Bits: Reserved 
TCP: Flags = 10 
TCP 0 = (No urgent pointer) 
TCP 1 = Acknowledgnent 
TCP 0... = (No push) 
TCP 0.. = (No reset) 
TCP 0. = (No SYN) 
TCP 0 = (No FIN) 
TCP: Window = 6432 
TCP: Checksum = SB40 (correct) 
TCP: Urgent pointer -0 


No TCP options 
[1448 Bytes of data] 


D=2815 5=443 
D=443 S=2815 
D=2820 S=443 
De443 S=2820 


for Future Use (Not shovn in the Hex Dump) 


0:00-00-000| 0.000.030 


ACK=4166184381 SEQ=2741383 201t 

ACK=2748363691 VIN«655:60 | 0:00:00.000| 0.000.045 201t 

ACK=3917324787 SEQ=390/140 | 0:00:00.049| 0.049.786 201t 

BCE 9901119894: UINvS42460..1 :0:00:00:155].:0:106:351 201088 
j » 


00000000: 00 16 76 7d le 91 00 Of e2 5f 3c 8c 08 00 45 00 
00000010: 05 dO fa 9a 40 00 2f 06 ee bd 7c 73 03 92 de ib 
00000020: fe ae 

00000030 
00000040 
00000050 


vp BOE 
4 Pils Hi 
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4. 统计 分 析 


对 于 各 种 报 文 信息 ,专家 系统 提供 了 矩阵 分 析 (Matrix, 如 图 3. 2. 25 所 示 ) 主机 列表 
(Host Table, Ml 3. 2. 26 所 示 ) .协议 统计 (Protocol Dist, 如 图 3.2. 27 所 示 ) 以 及 会 话 统计 
(Statistics, All E] 3. 2. 28 所 示 ) 等 多 种 统计 分 析 功 能 ,可 以 按照 MAC 地 址 、IP 地 址 和 协议 类 


型 等 内 容 进 行 多 种 组 合 分 析 。 
5. 捕获 条 件 设 置 


在 Sniffer Pro 环境 下 ,可 以 对 捕获 条 件 进行 设置 ,获得 用 户 需要 的 报 文 协议 信息 。 基 


本 的 捕获 条 件 有 两 种 : 


(1) 链 路 层 捕获 : 按照 源 MAC 地 址 和 目的 MAC 地 址 设 定 捕获 条 件 , 输 入 方式 为 十 六 


进 制 MAC 地 址 ,如 000D98ABCDFE, 
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[o.c | |S = 
Ex à 


ES 


专家 人 解码 入 矩阵 人 主机 列表 人 Protocol Dist. 人 查看 统计 表 为 这 当前 对 话 


图 


3225 和 矩阵 分 析 
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SE 


1209 


1413 
82 


402 6 


1 


[Asa ABFP HEREA | 出 直 宇 节 gza 总 数 | 字 节 总 数 
5 320 


主机 列表 分 析 


1529 
1815 
286 


7 
3 


[.5 wa) =] 
数据 包 FB 
1523 
286 


3 


(2) IP Æ 
192. 168. 1. 157 
过 滤 掉 。 


。 要 特别 注意 


用 户 可 以 通过 单 击 快捷 面板 上 的 加 按钮 sot ve EE" f oe 


来 设 定 捕获 条 件 , 如 图 3. 2. 29 所 示 
过 滤器 主要 包括 “摘要 ”“ 地 址 


“摘要 ?选项 卡 显示 : 


o 


MZ 


当前 
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3227 协议 统计 分 析 


“数据 模式 ”、“ 


缓冲 器 的 设 定 情况 。 


a| 


捕获 : 按 源 IP 地 址 和 目的 IP 设 定 捕 获 条 件 。 
s B Je. ar ed IP 


层 捕获 方式 , 则 


高 级 ”和缓 


z| 

值 
开始 捕获 次 数 2010-06-21 08:27 
捕获 持续 时 间 | 0:00:01.934 
字 节 总 数 1815 
总 数 数据 包 |12 
平均 数据 包 大 小 |5 
字 节 每 秒 (938 
数据 包 每 秒 6 
平均 利用 0% 
WES [100 Mbps 
MAC 广 播 数据 包 0 
MAC: 点 传送 数据 包 | 0 

包 12 

1815 
IP 广 播 数 据 包 0 
IP 多 点 传送 数据 包 _ |0 
TCF 数据 包 3 
TCP 字 节 1529 
UDF 数 据 包 3 
UDP 字 节 286 
ICMF 数 据 包 0 
ICMP 0 
PJE 0 
a 0 
IPx 广 播 数 据 包 0 
IFPx 多 点 传送 数据 包 _j0 


^R] 
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会 话 统计 分 析 
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a AD st IP 地 址 ,如 


ARP 等 类 型 报 文 信息 将 被 


pg ne 人 
nr TS 


单 下 的 “定义 过 渡 


BS 个 选项 卡 。 


X XB Mk 
摘要 ”| 地 址 | 数据 模式 | 高 级 eee | 


ae se hs 
RBA: 8 ee FB 
缓冲 器 动作 : TERR (trap) 


取消 ”| 配置 文件 | 
图 3229 过 滤器 操作 界面 


*。“ 地 址 ?选项 卡 用 来 进行 缓冲 器 捕获 条 件 的 设 定 , 如 图 3. 2. 30 所 示 。 


定义 过 滤器 aE 


dem ”地 址 ”| 数据 模式 | 高 级 e | 
地 址 类 型 (4) 已 知 的 地 址 : Mragablo) QD 


博多 条件 一 eww 忆 
E J s 点 传送 地 址 
c aT 0015533883F5 (本 地 ) 
C HERE) S 地 址 薄 


Titi iHd 


|OCODSBABCDFE 


* 


职 消 ”| 配置 文件 
图 3230 捕获 条 件 定义 


。“ 数 据 模式 ?选项 卡 用 来 编辑 捕获 条 件 。 

。“ 高 级 ”选项 卡 用 来 设 定 捕获 的 协议 .数据 包 类 型 和 数据 包 大 小 等 信息 。 

。“ 缓 冲 ” 选 项 卡 用 来 对 缓冲 区 进行 详细 配置 。 

在 “高 级 ”选项 卡 下 ,可 以 更 加 详细 地 配置 捕获 条 件 : 可 以 选择 需要 捕获 的 协议 条 件 、 数 
据 包 具体 长 度 和 数据 包 类 型 等 。 可 以 将 当前 设置 的 过 滤 规 则 条 件 保 存 为 配置 文件 
(Profiles) 。 在 “定义 过 滤器 -捕获 ”对话 框 中 ,可 以 单 击 有 RD 司 | 下 拉 列 表 选 择 保 存 
的 捕获 条 件 。 

在 “数据 模式 ”选项 卡 下 ,可 以 编辑 更 加 详细 的 捕获 条 件 ,如 图 3. 2. 31 所 示 。 利 用 数据 
模式 的 方式 可 以 实现 复杂 报 文 过 滤 ,但 同时 增加 了 捕获 的 时 间 复 杂 度 。 


实验 报告 要 求 


。 实验 目的 。 
。 附 上 实验 过 程 的 截图 和 结果 截图 。 
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摘要 ”| 地 址 SREX | 高 级 ue | 为 设置 : 


模板 关系 控制 


添加 MDT 


mew | meme 
取消 | 配置 文件 


A323 捕获 条 件 详细 配置 界面 


MAR ho | Seano 
增加 模式 Q0 | 编辑 模式 ©) 


ELTER PE 


-ERB S AY E A K PED 77 IE 。 
。 阐述 收获 与 体会 。 


3.2.4 网 络 监视 实验 

实验 器 材 

Sniffer Pro 软件 系统 ,1 E., 

PC( Windows XP/Windows 72.1 &. 

预习 要 求 

(1) 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 

(2) 复习 Sniffer Pro 软件 数据 捕获 功能 的 操作 方法 。 
(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 
通过 本 实验 ,掌握 以 下 技能 


(1) 熟练 掌握 Sniffer Pro 的 各 项 网 络 监 视 模 块 的 使 用 。 
(2) 熟练 运用 网 络 监视 功能 ,撰写 网 络 动态 运行 报告 。 


实验 环境 
本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 系统 。 
预备 知识 


(D TCP/IP 原理 及 基本 协议 。 
(2) 数据 交换 技术 概念 及 原理 。 
(3) 路 由 技术 及 实现 方式 。 


* 64 。 


实验 步 又 


选择 “监视 器 ”菜单 或 单 击 工 具 栏 上 的 按钮 ,可 依次 看 到 如 下 监视 功能 :“ 仪 表 板 ”、“ 主 
机 列表 ”“ 和 矩阵 ” “请求 响应 时 间 ”、“ 历 史 取 样 " “协议 分 析 ”、“ 全 局 统计 表 ” 和 “警报 日 

1. 仪表 板 (Dashboard) 

单 击 工具 栏 上 的 到 按 钮 , 即 可 弹出 仪表 板 。 在 仪表 板 上 方 , 可 对 监视 行为 进行 具体 配 


置 , 并 对 监视 内 容 进行 重 置 。 如 图 3. 2. 32 所 示 ,网 络 监视 仪表 板 包括 3 个 仪表 。 


图 3232 网 络 监视 仪表 板 


第 一 个 仪表 显示 的 是 网 络 使 用 率 (Utilization) ,第 二 个 仪表 显示 的 是 网 络 的 每 秒 钟 通 
过 的 包 数 量 (Packets/s) ,第 三 个 仪表 显示 的 是 网 络 的 每 秒 错误 率 (Errors/s)。 下 面 的 数字 
中 ,前 面 的 数字 表示 当前 值 ,后 面 的 数字 表示 最 大 值 。 通 过 3 个 仪表 可 以 直观 地 观察 到 网 络 
的 使 用 情况 ,仪表 的 红色 区 域 是 警戒 区 域 , 如 果 发 现 有 指针 到 了 红色 区 域 , 就 该 引起 重视 ,说 
明 网 络 线路 不 好 或 者 网 络 负 荷 太 大 。 如 果 需 要 获得 更 为 详细 的 网 络 整体 使 用 情况 ,可 以 单 
击 “ 细 节 ” 按 钮 ,查看 数据 统计 结果 。 

如 图 3. 2. 33 所 示 . Drops 表示 网 络 中 遗失 的 数据 包 数 量 (在 网 络 活动 高 峰 期 经 常会 遗 
失 数 据 包 ) ,过 多 的 广播 会 使 网 络 上 所 有 系统 的 性 能 整体 下 降 。 在 粒度 分 析 表 格 中 列 出 了 网 
络 中 数据 包 的 分 布 状态 ,包括 64B, 65 ~ 127B, 128 ~ 255B 等 不 同 字 节 的 数据 包 总 数 。 错 误 
描述 表格 中 列 出 了 错误 出 现 率 ,也 就 是 Errors/s。 


图 3233 网 络 监视 详细 信息 


通过 3 个 仪表 盘 , 可 以 很 容易 地 看 到 从 捕获 开始 ,有 多 少数 据 包 经 过 网 络 , 多 少 帧 被 过 
UE ,以 及 遗失 了 多 少 帧 等 情况 ,还 可 以 看 到 网 络 的 利用 率 .数据 包 数 目 和 广播 数 ,如 果 发 现 网 
络 在 每 天 的 特定 时 间 都 会 收 到 大 量 的 组 播 数据 包 , 就 说 明 网 络 可 能 出 现 了 问题 , 需 及 时 分 析 
哪个 应 用 程序 在 发 送 组 播 数据 包 。 

Sniffer 的 很 多 网 络 分 析 结 果 都 可 以 设 定 阔 值 , 若 超出 阔 值 ,报警 记录 就 会 生成 一 条 信 
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息 ,并 在 仪表 盘 上 以 红色 来 标记 阔 值 的 警告 值 。 网 络 管理 员 应 记录 警告 信息 ,并 且 查 看 系统 
超过 了 阔 值 多 少 次 ,以 及 超出 阔 值 的 频率 是 多 少 ,这 些 信息 有 助 于 确定 网 络 是 否 有 问题 。 
单 击 仪表 板 上 的 Set Thresholds GE 4E M(H) f 4H . $T FF Dashboard Properties Xf iff 
BAL a AS HE A E ÉS Ped EKAR Bote io Br DU EL. LAAR UE DU fe HE f HE S zs P £8 Ti D 
如 图 3.2. 34 所 示 , 可 以 在 仪表 板 的 下 方 查看 网 络 监 视 曲 线 图 ,主要 包括 网 络 、 错 误 描述 
和 粒度 分 布 3 种 情况 。Long Term 选项 每 30min 采样 一 次 ,一共 可 以 采样 24h; Short Term 
每 30s 采样 一 次 ,可 以 采样 25min。 


ina 


[ELEM 
pum 
mes 

Bi Dropsis 
mins 
mrs. 

图 多 点 传送 /s 


16:26:37 16:39:07 


I| Jabbers/s 
| CRCs/s 
TE 


16:26:37 16:39:07 


- —s m 
—— | — LEN 512-1023s/s 
zi 一 \ ST =< Wi 1024-15185/s 
t 4 i 
16:14:37 16:26:37 16:39:07 


图 3234 网 络 监视 曲线 图 


2. 主机 列表 (host table) 

单 击 工 具 栏 上 的 是 按钮 ,或 选择 “监视 器 ? 汪 单 内 的 “主机 列表 ”命令 ,界面 中 显示 的 是 
所 有 在 线 的 本 网 主机 地 址 以 及 外 网 服务 器 地 址 信息 。 可 以 分 别 选择 MAC 地 址 、IP 地 址 以 
及 IPX 地 址 。 通 常情 况 下 ,网 络 中 所 有 终端 的 对 外 数据 交换 行为 ,如 浏览 网 站 、 上 传 下 载 
等 ,都 是 各 终端 与 网 关 在 数据 链 路 层 中 进行 的 ,为 了 分 析 链 路 层 的 数据 交换 行为 ,需要 获取 
MAC 地 址 的 连接 情况 。 通 过 主机 列表 ,可 以 直观 地 看 到 流量 最 大 的 前 10 位 主机 地 址 。 

在 查看 网 络 主机 信息 时 ,默认 以 MAC 地 址 形式 显示 网 络 中 的 计算 机 。 如 果 计 算 机 处 
于 局 域 网 中 ,可 以 清楚 地 显示 计算 机 的 MAC 地 址 ;如 果 计 算 机 处 于 Internet 中 , 则 不 能 获 
得 计算 机 的 MAC 地 址 ,此 时 以 TP 地 址 形式 显示 。 单 击 窗口 下 方 的 IP 标签 , 即 可 显示 计算 
机 的 IP 地 址 ,这 样 可 以 更 清楚 地 查看 到 各 台 计 算 机 。 

在 列表 中 ,可 以 通过 单 击 “广播 ?或 “多 点 传送 ?对 广播 量 进行 统计 。IP 的 广播 有 3 种 : 
255. 255. 255. 255 为 本 地 广播 ,192. 168. 1. 255 为 子 网 广播 ,192. 168. 1. 255 为 全 子 网 广播 。 

为 了 方便 查看 连接 地 址 信息 ,设置 了 “细节 ”“ 饼 状 图 ”“ 柱 状 图 ”等 统计 方式 以 及 “ 单 向 
地 址 查看 ”“ 输 出 *“ 条 件 过 滤 ” 等 多 种 选项 。 在 统计 分 析 的 柱状 图 与 饼 状 图 中 ,网 关 流量 依 
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次 减 小 。 
有 chain 如 果 发 现 某 台 计 算 机 
明 可 能 存在 网 络 异 


当选 a 可 以 通过 “条 件 过 滤 ” 设 置 过 滤 条 件 , 系 统 


当 发 现 某 个 网 关 流量 与 其 他 终端 流量 差距 悬殊 时 , 则 需要 
在 某 个 时 间 段 内 发 送 


自动 产生 一 


重点 检查 目标 主机 是 否 
或 接收 了 大 量 


数据 , 则 说 


个 新 的 过 滤 


器 。 在 流量 分 析 过 程 中 ,根据 包 结 构 去 取得 主机 信息 , 即 目 的 MAC、\ 源 MAC 或 目的 IP Js 


IP。 为 了 查看 更 为 详细 的 主机 交互 情况 ,可 以 单 击 列表 


中 的 任意 项 ,如 图 


3.2.35 所 示 。 单 


3 yi 显示 主机 发 送 或 接收 的 数据 包 
il IP 地 址 为 114. 80. 93. 60 的 列表 项 ,可 以 显示 由 114. 80. 93. 60 EHLE X 4 数据 包 
青 况 ,如 图 3. : dinar 
青 况 ,如 图 3.2.36 所 示 。 
Hw 地 址 ABSES THEE | Ea aria [Fs | 多 点 传送 | 出 二 错误 TRC [Jabber [Runts [FF [ARS 
四 fi à à E à H à 5 E 9 H 
E 0 6 6 0 0 0 0 0 0 0 
一 0 5 5 0| 0| 0 0 0| D 0 
2 552 4546 384,3; Ll [] 0 0 0 0| 0 0 
XÍ 0 8 1 7 0 0 0 0| 0 0| 
E 0 1 1 0 0| 0 0 0 0 0 
加 0013D3C291DD 0 1 1 0 0| [] 0 0 0 0 
(uf 001558361308 624 465 695,5 1 0 0 0 0 0 0 0 
p^ 0 526. 526. 0 0 0 0 0 0 0 
F3 12 20; 1 n5 3 0 0| 0 0 0| 0 0| 
[si] 0 1 1 0 0 0 0 0 0 0 
743 827. 300.663 22 o 0| 0 0 0! 0 0 
& 0 20 16 4 0 0 0 o 0 0 
E s 0 1 1 0 0| 0 0 0! 0 0| 
10 0 0 0| 0| 0 0 0| 0 0 
加 0180C2000003 4 0 0 0| 0| 0 0 0| 0 0 
加 0180C200000A 3 0 0| 0| 0| 0 0 0| 0 0 
‘Bi 02004C4F4F50 48 50 1 0 0 0 0 0 0 0 
本 地 3,056 24 2:221 2192. 0 0 
re 1,056 0 38,89; 0 0 0 0 0 [] 0 ü 
0014C254C5D0. 0 ] 1 0| 0! 0 0 0| 0 0| 
H 002421EE8107 0 1 0 2 1 0 0| 0 0 0 0 0| 
Æ 00016C8A5704 0 3 J 28 3 0 0| 0 0 0 0 0 


传输 地 图 为 了 114.80.93.60 


3. 和 矩阵 (matrix) 
单 击 工 具 栏 上 的 鸭 按 钮 ,或 选择 “监视 器 ?3 
连接 情况 , 即 主机 会 话 情况 ,如 图 3. 2. 37 Bron. 


J 


图 3235 主机 列表 


326 单机 连接 情况 


单 内 的 “和 矩阵 ?命令 ,可 以 显示 全 网 的 所 有 


图 3237 全 网 连接 矩阵 


图 中 处 于 活动 状态 的 网 络 连接 标记 为 绿色 ,已 发 生 的 网 络 连 接 标记 为 蓝 色 ,线条 的 粗细 
与 流量 的 大 小 成 正比 ,将 鼠标 移动 至 线条 处 ,会 显示 流量 双方 位 置 .通信 流量 大 小 以 及 流量 
占 当 前 网 络 流量 的 百分比 。 

。 对 于 LAN, 可 以 分 析 MAC 层 、IP 网 络 层 IP 应 用 层 IPX 网 络 层 和 IPX 传输 层 。 

* 对 于 WAN, 可 以 分 析 链 路 层 、IP 网 络 层 、IP 应 用 层 IPX 网 络 层 和 IPX 传输 层 。 

和 矩阵 可 以 说 是 Sniffer Pro 中 最 常用 的 功能 , 它 以 矩阵 方式 列 出 当前 网 络 中 的 连接 情 
况 ,用户 可 以 清楚 地 看 到 某 个 计算 机 正在 与 哪些 地 址 进行 连接 。 

“通信 量 图 ?可 以 显示 节点 间 网 络 通信 量 的 全 面 信息 ,而 且 可 以 查看 特定 网 络 节点 信息 。 

“大 纲 ” 简 要 汇总 每 对 网 络 节点 间 发 送 的 总 字 节 数 和 总 报 文 数 , 可 以 查看 独立 网 络 连 接 
的 数据 包 使 用 情况 ,也 可 以 右 击 选择 独立 的 IP 终端 节点 。 如 果 连 接 数目 非常 大 ,显然 不 是 
一 种 正常 的 业务 连接 ,此 时 需要 认真 检查 每 一 个 连接 的 会 话 情 况 。 

如 图 3.2. 38 所 示 光 细节 ”可 以 按 高 层 协议 分 类 情况 查看 网 络 连接 及 数据 包 使 用 情况 。 
此 外 ,“ 柱 状 图 ”和 “ 饼 状 图 ”都 能 够 实时 显示 网 络 利 用 率 在 前 10 位 的 网 络 连 接 会 话 。 利 用 矩 


对 于 未 知 协议 ,可 以 通过 选择 “工具 ”菜单 的 “设置 ”命令 下 的 “协议 ” 栏 进行 自 定义 ,为 某 
端口 指定 协议 名 称 , 以 便 更 好 地 检测 网 络 流量 。 

通过 矩阵 功能 可 以 发 现 网 络 中 使 用 BT 等 P2P 软件 或 中 了 蠕虫 病毒 的 用 户 。 如 果 某 个 
用 户 的 并 发 连接 数 特别 多 ,并 且 在 不 断 地 向 其 他 计算 机 发 送 数据 ,说明 该 计算 机 很 可 能 中 了 
蠕虫 等 病毒 。 此 时 ,网 络 管理 员 应 及 时 封 掉 该 计算 机 所 连接 的 交换 机 端口 ,并 对 该 计算 机 查 

4. 应 用 响应 时 间 (Application Response Time. ART) 

ART 是 指 一 个 客户 端 发 出 一 个 请 求 到 服务 器 响应 回来 的 时 间 差 。 一 般 来 说 ,ART 的 
快慢 是 应 用 性 能 的 一 个 重要 指标 。 应 用 性 能 主要 决定 于 几 个 因素 : 网 络 因素 .服务 器 因素 、 
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222.27.254.68 , 12,022 218.60.35.111 
61.200.81.136 | 3372 222.27.254.126 
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3238 不 同 网 络 协议 的 网 络 连接 情况 


222.27.254.68 


alealsslleleleos|=lalelehe 


222.27.254.68 


客户 端 因素 和 应 用 协议 因素 。 

ART 用 来 显示 网 络 中 Web 网 站 的 连接 情况 ,可 以 看 到 局 域 网 中 有 哪些 计算 机 正在 上 
网 ,浏览 的 是 哪些 网 站 等 ,如 图 3.2. 39 所 示 。 该 窗口 中 显示 局 域 网 内 的 通信 及 数据 传输 大 
小 ,以 及 本 地 计算 机 与 Web 网 站 的 IP 地 址 。 通 过 单 击 左 侧 工具 栏 中 的 图 标 ,以 柱状 图 方式 
显示 网 络 中 计算 机 的 数据 传输 情况 ,不 同 的 柱 代表 右 侧 列表 中 的 相应 连接 , 柱 的 长 短 表示 传 
输 量 的 大 小 。 

如 果 一 个 数据 包 的 目的 IP 是 192.168.1.1, 目 的 端口 是 80 ,那么 就 可 以 认定 192. 168. 
1.1 是 HTTP 服务 器 地 址 ,而 源 IP 就 是 客户 地 址 ,主要 列表 项 含义 如 下 : 

。 AvgRsp: 平均 响应 时 间 。 

e 90%Rsp: 90%% 响 应 时 间 ,去 掉头 尾 各 526. 

。 MinRsp/MaxRsp: 最 小 /最 大 的 响应 时 间 ,以 毫秒 为 单位 。 

。 TotalRsp: 啊 应 次 数 。 

BET 3E AI 0—25ms,25—50ms 等 时 间 段 内 的 响应 次 数 。 

通过 单 击 左 侧 的 “属性 ”按钮 , 自 定义 所 要 监视 的 网 络 协议 。 当 协议 不 存在 时 ,可 以 利用 
对 应 端口 号 在 “工具 ”菜单 的 “选项 ”对 话 框 下 添加 协议 。 
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m [Ez E EPHE Imm 30xRsp [PE Haten [TotRsp BS [2650 [51-100_ [101-200 [201-400 [401-800 [801-66 RSs Oct [EP octets Tes [E 
aa|| 因 110763315 — 2222725261 67 — 66 867 3 0 3 0 0 0 0 8501 847 0 0 
|| Æ 11230.137.39 £ 525F2149DE724FF62 6&1 62 È 3 0 0 3 0 0 0 0 8795 755 0 0 
sa| E 113625449 — 台 525F2149DE724F13 2 1 5 18 18 0 0 0 0 0 0 5,806 372 ü ü 
六 || 昌 11362546 — 台 525F2149DE724F12 2 1 4 13 3 é 0 0 0 0 0 10514 — 3273 1 1 
t (|E 118.144.78.38 E 525F21490E724F1 31 n 24 8 n 1 12 0 0 0 0 0 585K 4233 0 0 
[X]|fi11622814867 22227.2526 18 16 17 æ 4 4 0 0 0 0 0 0 1266 1348 0 0 
图 || 昌 cz5zopyvweban 22227253125 26 — 20 — 24 æ n 4 7 0 0 0 0 0 4577 7172 0 0 
J!) By c25-zobactiveweb B22227253125 28 28 2 28 3 0 3 0 0 0 0 0 764 1,366 0 0 
E c25-dwawbcnet £122227253100 27 27 2 7 4 0 4 0 0 0 0 0 1.596 3224 0 0 
Æ c25 zoldetai-web: 122227253105 32 4 — 28 5 — 15 0 “u 1 0 0 0 0 6447 9878 0 0 
E c25zolpicweb60 £122227253125 27 2 25 2 5 0 so 0 0 0 0 0 398K 24525 0 0 
加 119147188 — £12222725261 160 — 15 — 158 16 2 0 0 0 2 0 0 0 1714 un 0 0 
加 122141.22513 £ 525F21490E724F 45 — 43 — 45 — 46 2 o 2 0 0 0 0 0 34657 — 294 0 0 
& 12222495187 加 222272531255 65 — 80 54 8 — 6 0 0 D 0 0 0 0 5333 2863 0 0 
昌 123138238206 £lSOSF2MSDETMFIMA BO 4 — 45 2 0 2 0 0 0 0 0 517 845 0 0 
Æ vs1.bmvip.cnz. air £ 222.27.25261 50 80 49 80 2 0 1 1 0 0 0 0 1390 — 58 0 0 
E yates. vip.cna.alim: 122227252600 4 可 4 4 2 0 2 0 0 0 0 0 881 1513 0 0 
加 1211941101 — £42222725060 16 15 — 16 17 2 2 0 0 0 0 0 0 4281 480 0 0 
Elacookeliaobaov £12222725261 62 62 62 & 2 0 0 2 0 0 0 0 787 1.093 0 0 
lp4mmvipenzem £2022725261 50 5 49 50 4 0 1 3 0 0 0 0 4050 22:2 0 0 
|Ei1211947169 — £3202272526| 16 — 15 1 vV 2 2 0 0 0 0 0 0 526 1,050 D] 0 
1231338238204 £ 22227.253142 4 — 42 4 4 2 0 2 0 0 0 0 0 517 320 0 0 
£ 124.238.253.109 ElsosF2MSDETMFISS — 30 — 95 5 2 0 0 2 0 0 0 0 758 388 0 0 
812423825432 加 2222725261 134 — 164 87 — 180 2 0 0 1 1 0 0 0 432 1296 0 0 
Æ 124.238.254.944 22227.253125 104 105 — 14 15 6 0 0 0 6 0 0 0 2076 2456 0 0 
12489103101 £ 525F21490E724F180 — 77 — 79 80 2 0 0 2 0 0 0 0 14741 367 0 0 
[124930138 ”加 525F 21490672481 81 a 80 8 2 0 0 2 0 0 0 0 689 a7 0 0 
加 125211.213130 加 22227253142 2 2 1 3 20 m 0 0 0 0 0 0 7390 2100 0 0 
81253912725 £ 525F21490E724F173 — (1 2 nB 2 0 0 2 0 0 0 0 7123 683 0 0 
(81253912725 只 22227253142 4 4 44 4 2 0 2 0 0 0 0 0 24568 724 0 0 


图 3239 ART 上 监视 窗口 


利用 ART 的 监视 功能 ,可 以 快速 获得 某 一 业务 的 响应 时 间 。 首 先 获得 业务 源 地 址 的 
服务 器 /客户 端 响 应 时 间 ( 网 络 消耗 时 间 ) 和 服务 器 处 理 时 间 ; 同 时 ,在 业务 的 目的 地 址 获得 
服务 器 处 理 时 间 ,利用 Sniffer Pro 可 以 判断 影响 业务 性 能 的 因素 是 来 自 网 络 还 是 服务 器 。 
通过 长 期 的 观测 ,还 可 以 设 定 每 一 个 业务 的 响应 基准 线 , 以 此 判断 业务 运行 是 否 正常 。 

5. 历史 取样 (history sample) 

历史 取样 即 收集 一 段 时 间 内 的 各 种 网 络 流量 信息 。 通 过 这 些 信息 可 以 建立 网 络 运 行 状 
AS SEL ,设置 网 络 异 常 的 报警 国 值 。 默 认 情 况 下 ,历史 采样 的 缓冲 区 有 3600 个 采样 点 ,每 隔 
15s 进行 一 次 采样 ,采样 15h 后 自动 停止 。 如 果 想 延长 采样 时 间 , 可 以 通过 修改 采样 间隔 时 
间或 者 设置 缓冲 区 属性 的 方式 实现 。 具 体 做 法 是 : 单 击 左 侧 的 “属性 ”按钮 ,修改 采样 间隔 ， 
并 勾 选 “ 当 缓 冲 区 满 时 覆盖 ”的 条 件 。 此 外 ,还 可 以 灵活 地 选择 多 种 采样 项 目 。 

6. 协议 分 布 (protocol distribution) 

通过 协议 分 布 可 以 分 析 网 络 中 不 同 协议 的 使 用 情况 。 可 以 直观 地 看 到 当前 网 络 流量 中 
的 协议 分 布 情况 ,了 解 各 类 网 络 协议 的 分 布 情况 以 后 ,可 以 找到 网 络 中 流量 最 大 的 主机 ,这 
意味 着 该 主机 对 网 络 的 影响 也 最 大 ,之 后 可 以 利用 主机 列表 的 饼 状 图 功能 找到 流量 最 大 的 
HULA o 

7. 全 局 统计 表 

全 局 统计 数据 能 够 显示 网 络 的 总 体 活 动情 况 ,并 确认 各 类 数据 包 通 信和 负载 的 大 小 ,从 而 
分 析 网 络 的 总 体 性 能 及 存在 的 问题 。 全 局 统计 表 提 供与 网 络 流 量 相关 的 各 类 统计 测量 
方式 : 

。 粒度 分 布 : 根据 数据 包 大 小 与 监测 到 的 通信 总 量 之 比 ,显示 每 个 数据 包 的 发 生 频 率 。 

。 利用 率 分 布 : 以 10% 为 基本 度量 单位 ,显示 每 组 空间 内 网 络 带 宽 的 分 布 情况 。 

8. 警报 日 志 

警报 日 志 全 面 监测 和 记录 网 络 异 常事 件 。 一 旦 超过 用 户 设 定 的 阔 值 参数 ,警报 器 会 在 
警报 日 志 中 记录 相应 事件 。 警 报 分 为 5 种 严重 性 级 别 : 严重 、 重 要 、 次 要 、 警 告 和 通知 。 对 
于 警报 日 志 中 的 每 个 警报 事件 ,都 可 以 观察 触发 警报 的 具体 节点 类 型 .发 生 时 间 、 警 报 级 别 
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以 及 描述 信息 等 。 系 统 默 认 的 警报 级 别 如 表 3.2. 3 所 示 。 


表 3.2.3 系统 默认 警报 级 别 


事 件 级 别 事件 级 别 
BI (ELE E E TRE 严重 地 址 德 内 数据 重复 通知 
IP 地 址 重复 严重 探测 位 置 不 响应 次 要 


选择 “工具 ”菜单 中 的 “选项 ”命令 , 单 击 “ 警 报 ” 选 项 卡 , 选 择 “ 定 义 强度 …”, 可 以 修改 警 
报 强度 ,如 图 3. 2. 40 Bron. 


警报 可 以 设 定 为 声音 .电子 邮件 、 拨 呼叫 器 以 及 警报 文本 4 类 。 


Po sz] 


ES 
| 


警报 强度 | 
1 | Threshold: Over upper imit zi] | 
2 | 地 址 :复制 P 地 址 危急 的 


3 | 地 址 : 从 地 址 薄 复 制 数据 通知 


Le] |» | 


一 


A320 警报 级 别 调整 界面 


同时 ,可 以 对 专家 系统 的 实时 分 析 数 据 设 定 警报 级 别 。 选 择 “ 工 具 ” 菜 单 下 的 “专家 系 
统 ” 命 令 , 单 击 “ 警 报 ” 选 项 卡 ,将 设 定好 严重 性 级 别 的 各 类 系统 层 项 目的 “记录 警报 ”选项 设 
定 为 “是 ”。 在 正常 运行 过 程 中 ,选中 “警报 ”选项 卡 上 的 “启用 新 警报 ” 复 选 框 即 可 。 

实验 报告 要 求 


实验 目的 。 

附 上 实验 过 程 的 截图 和 结果 截图 。 
阐述 遇 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 


3.3 扩展 实验 


为 了 对 Sniffer Pro 的 使 用 有 更 加 综合 和 全 面 的 了 解 , 本 节 设 计 了 网 络 协议 嗅 探 和 协议 
抓 包 分 析 两 个 综合 型 实验 。 


3.3.1 网 络 协议 嗅 探 
实验 器 材 
Sniffer Pro 软件 系统 ,1 套 。 
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PC(Windows XP/Windows 7).1 @. 

预习 要 求 

CD 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 Sniffer Pro 软件 的 操作 方法 。 


(3) 熟悉 实验 过 程 和 基本 操作 流程 。 
(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,理解 Sniffer Pro 常用 工具 的 配置 方法 ,明确 多 数 相关 协议 的 明文 传输 问 
题 。 理 解 TCP/IP 主要 协议 的 报头 结构 ,掌握 TCP/IP 网 络 的 安全 风险 。 

实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 系统 。 

预备 知识 


(1) TCP/IP 原理 及 基本 协议 。 

(2) FTP 站 点 搭建 技术 及 基本 协议 。 

实验 步 又 

(1) 开启 Sniffer Pro。 

(2) 捕获 数据 包 前 的 准备 工作 。 

在 默认 情况 下 ,Sniffer Pro 将 捕获 其 接 入 网 络 中 的 所 有 数据 包 , 但 在 某 些 场景 下 ,有 些 
数据 包 可 能 不 是 我 们 所 需要 的 ,为 了 快速 定位 网 络 问 题 所 在 ,有 必要 对 所 要 捕获 的 数据 包 进 
行 过 滤 。 可 以 通过 过 滤器 ,定义 Sniffer Pro 捕获 数据 包 的 过 滤 规 则 ,过 滤 规 则 包括 网 络 地 
址 的 定义 和 几 百 种 协议 的 定义 。 定 义 过 滤 规 则 的 做 法 如 下 。 

在 主 界面 选择 “捕获 ”菜单 中 的 “定义 过 滤器 "命令, 出现 如 图 3. 3. 1 所 示 的 对 话 框 。 


摘要 jet | 数据 模式 | 高 级 | ea | 


RBA: 8 Mee FT 


二 组 站 要 动作 : RS Oey) 


取消 | 配置 文件 | 
图 331 ”定义 过 滤器 -捕获 ”对 话 框 
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其 中 “地 址 ”选项 卡 是 最 常用 的 过 滤 手 段 。 包 括 MAC 地 址 、IP 地 址 和 IPX 地 址 的 过 滤 
定义 。 以 定义 IP 地 址 过 滤 为 例 , 见 图 3.3.2. 
paz eee 


摘要 ”地 址 | 数据 模式 | 高 级 ær | 
地 址 类 型 : (A) 已 知 的 地 址 : (Dragable) Œ) 


z 
取消 | 配置 文件 | 
图 332 IP 地 址 过 滤 设 定 界面 


当 需 要 捕获 地 址 为 192. 168. 1. 224 的 主机 与 其 他 主机 间 的 数据 通信 时 ,需要 首先 确定 
“地 址 类 型 ?为 IP,“ 模 式 ” 为 “包含 ”, 若 选择 “排除 ”, 则 表示 捕获 条 件 为 除 本 主机 以 外 的 所 有 
数据 通信 。 在 下 方 的 位 置 选项 中 ,在 左右 任意 一 侧 填 写 主 机 地 址 , 即 192. 168. 1. 224 而 另 
一 侧 可 填写 any, 完 成 通信 地 址 定义 。 

* 图 二 图 表示 由 被 测 主机 发 出 和 接收 的 所 有 数据 包 。 

。 图 一 图 表示 由 被 测 主机 发 送 的 数据 包 。 

* 图 人 一 辆 表示 由 被 测 主机 接收 的 数据 包 。 

在 完成 上 述 设置 后 ,按照 需要 捕获 的 数据 包 类 型 选择 可 用 协议 ,如 HTTP, DNS 等 , 需 
要 特别 的 注意 的 是 DNS, NETBIOS 的 数据 包 有 些 属于 UDP 协议 ,因此 ,需要 在 UDP 选项 
卡 中 进行 类 似 TCP 选项 卡 的 选择 工作 ,否则 捕获 的 数据 包 将 不 完整 。 

在 “高 级 ”选项 卡 内 ,可 以 定义 数据 包 大 小 (68 一 128B) .缓冲 区 大 小 以 及 文件 存放 位 置 
等 ,具体 内 容 见 图 3. 3. 3。 


摘要 | 地 址 | 数据 模式 高 级 [em | 


到 本 可 用 到 的 协议 ^ 
[DF 3Com TCP-IP/LOOP B 


图 333 协议 过 滤 设 定 界面 
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(3) 捕获 数据 协议 。 
将 定义 好 的 过 滤器 应 用 于 捕获 操作 中 。 启 动 “捕获 ”功能 ,就 可 以 运用 各 种 网 络 监 控 功 
能 分 析 网 络 数 据 流量 及 各 种 数据 包 具 体 情况 。 


实验 报告 要 求 


。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
阐述 遇 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 


3.3.2 FTP 协议 分 析 


实验 器 材 


Sniffer Pro 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7) ,1 台 。 


预习 要 求 

(1) 做 好 实验 预习 ,复习 网 络 协议 有 关内 容 。 

(2) 复习 Sniffer Pro 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 

实验 任务 

通过 本 实验 ,掌握 利用 Sniffer Pro 软件 捕获 和 分 析 网 络 协议 的 具体 方法 。 


实验 环境 
本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 系统 。 
预备 知识 


(1) FTP 原理 及 基本 协议 。 

(2) 网 络 协议 分 析 技 术 的 综合 运用 。 

实验 步骤 

按照 实际 需要 ,定义 如 图 3. 3.4 所 示 的 过 滤器 ,并 应 用 该 过 滤器 捕获 FTP 协议 信息 。 
运行 数据 包 捕 获 功能 。 

在 Sniffer Pro 捕获 状态 下 ,进行 FTP 站 点 操作 。 如 图 3. 3. 5 所 示 , 登 录 FTP 站 点 ,位 
置信 息 为 ftp. hrbeu. edu. cn ,用户 名 和 密码 均 为 匿名 (anonymous)。 看 到 系统 登录 成 功 的 
提示 后 ,用 户 可 以 自 定义 操作 ,对 FTP 站 点 和 文件 进行 操作 。 

. 74 。 


摘要 ”| 地 址 | 数据 模式 | 高 级 | 绎 中 | 


© deat 
类 型 : IP 
模式 : mé 


日 -高 级 的 


= ®) 


^ 
125.223.124.124 — 任意 的 

高 
协议 : IEEE802.11, TCP, UDP, IPX, OSI 


dm 
RBA: 8 Mee FH 
EREE: ERR rap) 


图 


Lee | ma |mmxt 


334 定义 过 滤器 


My) > 


335 ”FIP 命令 行 登录 界面 


通过 单 击 “ 捕 获 停止 ”或 者 “停止 并 显示 ”按钮 停止 Sniffer Pro 捕获 操作 ,并 把 捕获 的 数 
据 包 进行 解码 和 显示 ,如 图 3. 3.6 所 示 。 通 过 对 报 文 解析 ,可 以 看 到 Sniffer Pro 捕获 到 了 
用 户 登 录 FTP 的 用 户 名 称 和 明文 密码 ,对 于 用 户 进行 的 若干 FTP 站 点 操作 行为 , Sniffer 


Pro 都 能 够 捕获 到 相关 信息 。 
实验 报告 要 求 


- 实验 目的 。 


附 上 实验 过 程 的 截图 和 结果 截图 。 
阐述 遇 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 


序号 | 状态 目标 地 址 Len (| Relatia) < ， 
12 [125.223.124 .12| [202.118.176.254] 21 S=54453 SYN SEQ=1179230683 LEN=0 W| 66 0:00 
13 [125.223.124.12| [202.118.176.254] 21 S=54453 ACK=2674058857 WIN=819| 54 0:00 
14 [125.223.124.12| [202.118.176.254] 21 S=54453 ACK=2674058877 WIN=817| 54 0:00 
15 [125.223.124.12| [202.118.176.254] PORT-54453 USER anonymous 70 0:00 
16 125.223.124.12| [202.118.176 254 21 $-54453 ACK=2674058911 WIN-813| 54 0:00 
17 | 
18 [125.223.124.12| [202.118.176.254] 21 S=54453 ACK=2674058934 WIN=811| 54 0:00 | 
19 [125.223.124.12| [202.118.176.254] PORT-54453 PORT 125.223.124.124.212| 84 0:00 
20 [125.223.124.12| [202.118.176.254] PORT-54453 LIST 60 0:00 
L]| 21 [125.223.124.12| [202.118.176.254] 20 S=54454 SYN ÀCK-2680643451 SEQ-182| 70 0:00 
22 [125.223.124.12| [202.118.176.254] 20 S=54454 ACK=2680644594 WIN=651| 66 0:00 
23 [125.223.124.12| [202.118.176.254] 21 $-54453 ÀCK-2674059048 WIN-800| 54 0:00 
24 [125.223.124.12| [202.118.176.254] 20 S-54454 FIN ACK-2680644594 SEQ-182| 66 0:00 
25 [125.223.124.12| [219.133. 51.247] 8000 S=4000 LEN=55 (missing data?) 89 0:00 
26 [125.223.124.1z [125.223.124.236] |UDP: D-49777 S-1900 LEN=479 (missing data?)| 513| 0:00 | 
27 | [125.223 .124 12} [125.223.124.236] UDP: D-49777 S=1900 LEN=479 (missing data?)|513| 0:00 . 


TCP: Source port 


54453 (Dynamic and/or Private) 


TCP; Destination port = 21 (FTP-ctrl) 国 | 
TCP: Sequence number = 1179230700 
TCP: Next expected Seq number= 1179230716 -l 


: 00 19 c6 00 60 ad 00 Od Se 8c 98 68 08 OO 45 00 ..?'?.^8h 


.E. 
: 00 38 61 bi 40 00 80 06 00 00 7d df 7c 7c ca 76 Bart c.. iR [76i 


MARE {FEE J EWU J Protocol Det A ESRR 为 这 当前 对 活 了 | 


图 336 对 捕获 的 数据 包 进 行 解码 和 显示 


3.3.3 Telnet 协议 分 析 
实验 器 材 


Sniffer Pro 软件 系统 ,1 套 。 
PC( Windows XP/Windows 7) ,每 组 2 £. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 Sniffer Pro 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,掌握 利用 Sniffer Pro 软件 捕获 和 分 析 网 络 协议 的 具体 方法 。 

实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 安装 Windows 操作 系统 。 
预备 知识 

(1) Telnet 原理 及 基本 协议 。 

(2) 网 络 协议 分 析 技 术 的 综合 运 
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实验 步骤 
按照 实际 需要 ,定义 如 图 3.3. 7 所 示 的 过 滤器 ,并 应 用 该 过 滤器 捕获 Telnet 协议 信息 。 
运行 数据 包 捕获 功能 。 


Define Filter - Capture 2) x} 


Summary | Address | Data Pattern Advanced | Buffer | 


Settings For: 


Default 


[Say sutr 司 
Cs SUNRPC (TCP) 
M sj TELHET 
C $a X-WINDOW 
a-m wor 
[73^ IP ARP 
DF rve 
gE-F X rex 
DF nr = 
Packet Size Packet Type 
nm e: Normal a 
[VICRC Error 
All sizes [Jabber zi 


取消 “| Profiles.. 


图 337 定义 Tang 协议 的 过 滤器 


在 应 用 Telnet 方式 登录 远程 计算 机 之 前 ,需要 开启 Telnet 服务 。 如 果 计 算 机 安装 上 
Windows 7 操作 系统 , 则 需要 单独 下 载 Telnet. exe 程序 。 在 登录 远程 计算 机 时 ,需要 i 
该 计算 机 的 用 户 名 和 密码 。 

有 关 该 项 目的 测试 ,可 以 选择 在 局 域 网 内 进行 分 组 练习 ,两 人 一 组 ,分 别 应 用 Telnet 方 
式 登 录 到 对 方 计算 机 ,如 图 3. 3. 8 和 图 3. 3.9 所 示 。 


cf Telnet 192.168.1.225 


" could not log you in using NTLM authentication. 
g username and password 
Welcome to Microsoft Telnet Service 


dministrat 


图 338 远程 登录 界面 


由 于 Telnet 登录 时 口令 部 分 不 回 显 ,只 能 抓 取 从 客户 机 到 服务 器 的 报 文才 能 获取 明文 
口令 ,所 以 一 般 嗅 探 软件 无 法 直接 看 到 口令 。 默 认 情 况 下 ,Telnet 登录 时 进入 字符 输入 模 


. 77 。 


cs Telnet 192.168.1.225 


Melcome to Microsoft Telnet Server. 


339 远程 连接 成 功 


式 ,而 非 行 输入 模式 ,此 时 基本 上 是 客户 端 一 有 击 键 就 立即 向 服务 器 发 送 字符 ,TCP 数据 区 
为 1 B。 嗅 探 结 果 如 图 3.3.10 Bros. 


FH File Monitor Capture Display Tools Database Window Kelp a | 本 | xl 
| »| if mie] OA] | [oes < 
za Si) slale ages. 


For Help, press Fl 


3310 嗅 探 结果 


客户 端 Telnet 到 服务 端 时 ,一 次 只 传送 1B 的 数据 ;由 于 协议 的 头 长 度 是 一 定 的 ,所 以 
Telnet 的 数据 包 大 小 二 DLC(14B) 十 IP(20B) 十 TCP(20B) 十 数据 (1B), 共 55B, 因 此 ,可 以 


“7 


将 图 3. 3.7 的 Packet Size 设 为 55 ,以 便 捕获 到 用 户 名 和 密码 ;如 图 3. 3. 11 所 示 , 设 定 为 仅 
捕获 客户 端 到 服务 端的 数据 包 ,过滤 其 他 类 型 的 干扰 数据 包 。 


Define Filter — Capture 


图 3311 设 定 为 仅 捕 获 客户 端 到 服务 端的 数据 包 


再 次 重复 捕获 过 程 , 即 可 显示 用 户 名 和 明文 密码 ,如 图 3.3. 12 所 示 , 用 户 名 为 
administrator ,口令 为 123456 。 


1, Ethernet (Line speed at 100 Mbps) — [Snif2: Decode, 1/19 Ethernet Frames] 


Telnet 
Telnet 
Telnet 
Telnet 
Telnet 
Telnet: C PORT=3331 
Telnet: C PORT=3331 
Telnet 
Telnet 
Telnet 
Telnet 
Telnet 


Telnet 
Telnet 
Telnet 
Telnet 
Telnet 
Telnet 


Telnet: a 
Telnet 


A332 用 户 名 称 和 明文 密码 


思考 题 


CD 如 何 捕获 HTTP 协议 下 的 用 户 名 和 密码 ? 
(2) 分 析 TCP 协议 的 头 结构 以 及 两 台 主 机 之 间 建 立 连 接 的 过 程 。 


。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 

。 阐述 遇 到 的 问题 以 及 解决 方法 。 

。 阐述 收获 与 体会 。 

3.3.4 多 协议 综合 实验 

实验 器 材 

Sniffer Pro 软件 系统 ,1 套 。 

PC(Windows XP/Windows 7) ,每 组 2 台 。 
预习 要 求 


(1) 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 Sniffer Pro 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 


通过 本 实验 ,理解 和 掌握 Sniffer Pro 的 综合 应 用 ,明确 FTP, TCP, ICMP 等 多 种 协议 
的 数据 传输 问题 。 理 解 主要 协议 的 结构 。 


实验 环境 


本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。 所 有 PC 上 安装 的 都 是 Windows 
操作 系统 。 本 次 实验 需 在 小 组 合作 的 基础 之 上 完成 。 每 个 小 组 由 两 位 成 员 组 成 ,相互 之 间 
通信 ,通过 Sniffer Pro 工具 截取 通信 数据 包 , 分 析 数 据 包 ,完成 实验 内 容 。 


实验 步骤 
CD 填写 小 组 情况 表 , 通 过 ipconfig 命令 获取 本 机 IP 地 址 ,并 填写 表 3. 3. 1 。 
表 3.3.1 小 组 情况 表 


小 组 成 员 姓 名 机 器 IP 地 址 本 机 用 户 名 
A 192. 168. 1. 136 User36 
B 192. 168. 1. 137 User37 


(2) 开启 Sniffer Pro 软件 , 自 定义 过 滤器 设置 ,并 进入 捕获 状态 。 
(3) 从 本 机 ping 小 组 另 一 位 成 员 的 计算 机 ,使 用 Sniffer Pro 截取 ping 过 程 中 的 通信 
(4) 分 析 由 第 (3) 步 操作 而 从 本 机 发 送 到 目标 计算 机 的 IP 数据 ,并 填写 表 3. 3. 2。 

。80 。 


表 3.3.2 IP 数据 报表 
IP 协 议 版 本 号 (IPv4/IPv6) 


服务 类 型 (使 用 中 文明 确 说 明 服务 类 型 ,比如 * 要 求 最 大 吞吐 量 /b”) 


IP 报 文 头 长 度 /B 


数据 报 总 长 度 /B 


标识 


数据 报 是 否 要 求 分 段 


分 段 偏 移 量 


在 发 送 过 程 中 经 过 几 个 路 由 器 


上 层 协议 名 称 (ICMP) 
报 文 头 校 验 和 
源 地 址 (IP) 
目标 地 址 (IP) 


(5) 分 析 由 第 (3) 步 操作 而 从 目标 计算 机 返回 到 本 机 的 数据 帧 中 的 IP. 数据 ,并 填写 
表 3. 3. 2。 

(6) 从 本 机 通过 telnet 命令 远程 登录 小 组 另 一 位 成 
对 方 C 盘 根 目录 下 的 文件 系统 结构 ,最 后 使 用 exit 命令 
的 通信 数据 。 

(7) 分 析 由 第 (6) 步 操作 而 从 本 机 发 送 到 目标 计算 机 的 数据 帧 中 的 TCP 数据 ,填写 
2: 3,303 


员 的 计算 机 ,然后 使 用 dir 命令 查看 
退出 。 使 用 Sniffer Pro 截取 操作 中 


表 3.3.3 通信 报表 
数据 发 送 端口 号 
通信 目标 端口 号 
TCP 报 文 序号 
TCP 报 文 确认 号 
下 一 个 TCP 报 文 序号 
标志 位 含义 (如 “确认 序号 有 效 ”) 
窗口 大 小 
校 验 和 
源 IP 地 址 
目标 IP 地 址 


(8) 分 析 由 第 (6) 步 操作 而 从 目标 计算 机 返回 到 本 机 的 数据 帧 中 的 TCP 数据 ,并 填写 
# 3.3.3, 


. 81 。 


。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


3.3.5 端口 扫描 与 嗅 探 实验 
实验 器 材 


Superscan 软件 系统 ,1 套 。 
Nessus 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 &. 


预习 要 求 

(1) 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 Sniffer Pro 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 
使 用 多 种 工具 进行 端口 扫描 与 嗅 探 分 析 。 
实验 环境 


硬件 环境 : 安装 Windows 2000 Server\Linux(Red Hat) 操 作 系 统 的 计算 机 。 
软件 环境 : SuperScan\Nessus\X-Scan\nmap 等 工具 软件 。 


预备 知识 
学 习 计 算 机 网 络 有 关 知 识 , 熟 悉 X-Scan 等 多 种 分 析 工 具 的 用 法 。 
实验 步 又 


1. 使 用 SuperScan 进行 端口 扫描 

SuperScan 具有 端口 扫描 、 主 机 名 解析 和 Ping 扫描 的 功能 ,其 界面 如 图 3. 3. 13 所 示 。 

1) 主机 名 解析 功能 

在 Hostname Lookup 栏 中 ,可 以 输入 IP 地 址 或 者 需要 转换 的 域名 , 单 击 Lookup 按钮 
就 可 以 获得 转换 后 的 结果 , 单 击 Me 可 以 获得 本 地 计算 机 的 IP 地 址 , 单 击 Interfaces 可 以 获 
得 本 地 计算 机 IP 的 详细 设置 。 

2) 端口 扫描 功能 

利用 端口 扫描 功能 ,可 以 扫描 目标 主机 开放 的 端口 和 服务 。 在 IP 栏 中 ,在 start 中 输入 
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== SuperScan 3.00 


Hostname Lookup Configuration 


Port list setup 
Resolved | Me | Interfaces 


IP Timeout Scan type Scan 
Start]192.168.1.2 Ping [ Resolve hostnames 
mmm V. Only scan responsive pings 
= IV Show host responses 


Stop}192.168.1.4 


Connect | | C Ping only 
PrevC | NextC | 1.254 
Ls West | Re | | a0 


C Every pott in list 
[v Ignore IP zero (* All selected ports in list 


0 
IV. Ignore IP 255 fet © All list ports from. 
I Extract tram fle >| wm | Sia [sen] m 


Speed 
Max Active hosts 


Open ports 


Save 
Collapse all 


Expand all 


Prune 


图 3313 SuperScan 操 作 界 面 


开始 的 IP, 在 Stop 中 输入 结束 的 IP. TE Scan type 栏 中 选中 All list ports from 1 to 65535, 
这 里 规定 了 扫描 的 端口 范围 ,然后 单 击 Scan 栏 中 的 Start 按钮 ,就 可 以 在 选择 的 IP 地 址 段 
内 扫描 不 同 主机 开放 的 端口 了 。 扫 描 完成 后 ,选中 扫描 到 的 主机 IP, 单 击 Expand all 按钮 
会 展开 每 台 主机 的 详细 扫描 结果 。 例 如 ,从 图 3. 3. 14 中 可 以 看 到 ,主机 192. 168. 1. 2 中 共 
开放 了 6 个 端口 。 扫 描 窗 口 右 侧 的 Active hosts 和 Open ports 分 别 显 示 了 发 现 的 活动 主机 
和 开放 的 端口 数量 。 


-. SuperScan 3.00 
Hostname Lookup Configuration 


[132:168.1.2 Lookup | Port list setup 
Resolved | Me | Interfaces 


Scan type Scan 


IP 
Start [192.158.1.2 = [ Resolve hostnames 
192.168.1.2 


- Ünly scan responsive pings 
Stopfts2.1681.2 — 4] Show host responses 
PrevC | NextC | 1.254 Ping ony EXE 

jesse mend ed n E 


Every port in list 


M Ignore IP zero. All selected ports in list 


IV. Ignore IP 255 DN Al list ports from [1 65535 


[ Extract from file >| All ports from 


Speed 
Max S v 182168.1.2 


图 331 端口 扫描 结果 


SuperScan 也 提供 了 特定 端口 扫描 的 功能 ,在 Scan type 栏 中 选中 All selected ports in 
list, 就 可 以 按照 选 定 的 端口 执行 扫描 。 单 击 Configuration 栏 中 的 Port list setup 按钮 即 可 
进入 端口 配置 界面 ,如 图 3. 3. 15 所 示 。 选 中 Select ports 栏 中 的 某 个 端口 ,在 左上 角 的 
Change/add/delete port info 栏 中 会 出 现 这 个 端口 的 信息 ,选中 Selected 复 选 框 ,然后 单 击 
Apply 按钮 就 可 以 将 此 端口 添加 到 扫描 的 端口 列表 中 。Add 和 Delete 按钮 可 以 添加 或 者 
删除 相应 的 端口 。 然 后 单 击 Port list file 栏 中 的 Save 按钮 ,会 将 选 定 的 端 idi d aud 

.lst 文件。 默认 情况 下 ,SuperScan 有 scanner. Ist 文件 ,包含 了 常用 的 端口 列表 ,还 有 一 
trojans, Ist 文件 ,包含 了 常见 的 木马 端口 列表 。 通 过 端口 配置 功能 ,SuperScan 提供 了 
定 端口 的 扫描 ,节省 了 时 间 和 资源 ,通过 对 木马 端口 的 扫描 ,可 以 检测 目标 计算 机 是 否 被 种 
HAS. 


Edit Port List 
Change/add/delete port info Port list file 
Port h | m Selected | mem - 
Description [TCP Port Service Multiplexer — Load Merge Save 
> 


Program 


Select ports 


Params 
peer Double-click list item to select/de-select — SelectAll| Clear All 
Tobe text 


| Delete | Apply 


Helper apps in right-click menu 
FTP [C:\Program Files\GlobalSCAPE -> 


Params [ftp://%a:%p/ 


Telnet [tenet exe > 
Params [za %p 


Web [c Program Files\Internet Explc -> 


Params [hitp://%a:%p/ 


Parameters: %a = IP address, %p = port 


图 3315 端口 配置 界面 


3) Ping 功能 

SuperScan 软件 的 Ping 功能 提供 了 检测 在 线 主 机 和 判断 网 络 状况 的 作用 。 通 过 在 IP 
栏 中 输入 起 始 和 结束 的 IP 地 址 ,然后 选中 Scan type 栏 中 的 Ping only 即 可 单 击 Start 按钮 
启动 Ping 扫描 了 。 在 IP 栏 ,Ignore IP zero Ñ Ignore IP 255 分 别 用 于 屏蔽 所 有 以 0 和 255 
pd IP 地 址 , 单 击 PrevC 和 NextC 按钮 可 直接 转换 到 前 一 个 或 者 后 一 个 C 类 IP 网 段 。 

..254” 按 钮 则 用 于 直接 选择 整个 网 段 。 在 Timeout 栏 中 可 根据 需要 选择 不 同 的 响应 
hn 

2. 使 用 Nessus 进行 扫描 

Nessus 是 UNIX 操作 系统 中 常用 的 扫描 工具 。 它 是 基于 GPL 开发 的 ,可 扩展 性 强 , 当 
一 个 新 的 漏洞 被 公布 后 ,很 快 就 可 以 下 载 其 新 的 插件 ,以 支持 网 络 的 安全 性 检查 。 

1) 安装 Nessus 

在 Linux 下 安装 Nessus, 进 行 扫描 实验 。 安 装 文件 名 是 nessus-installer. sh, 使 用 shell 
来 执行 它 , 输 入 sh nessus-installer. sh, 然 后 系统 就 开始 安装 。 在 安装 过 程 中 ,安装 程序 会 
提示 用 户 设置 安装 路 径 信息 ,每 次 设置 好 后 按 回 车 键 就 会 继续 安装 ,最 后 系统 提示 
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Congratulations ! Nessus is now installed on this host 

. Create a nessusd certificate using /usr/local/sbin/nessus- mkcert 

. Add a nessusd user use /usr/local/sbin/nessus- adduser 

. Start the Nessus daemon (nessusd) use /usr/local/sbin/nessusd - D 

. Start the Nessus client (nessus) use /usr/local/bin/nessus 

- To uninstall Nessus, use /usr/local/sbin/uninstall- nessus 

. Remenber to invoke 'nessus- update- plugins' periodically to update your list of 

plugins 

. A step by step deno of Nessus is available at : 

http: //www.nessus .org/demo/ 

Press ENIER to quit 

这 就 表明 安装 成 功 。 

2) 配置 Nessus 

Nessus 包含 服务 器 端 和 客户 端 ,第 一 次 使 用 时 要 先 配 置 一 个 账号 ,使 用 命令 nessus- 
adduser 来 建立 一 个 名 为 zx, 密码 是 2222 的 账号 (可 随意 设 ) ,这 就 是 服务 器 的 账号 密码 。 
使 用 nessus-mkcert 程序 设置 CA( 基 本 选择 默认 设置 ) 。 然 后 使 用 命令 nessusd -D 打开 服 
务 器 的 进程 (该 控制 台 放 在 后 台 运行 )。 

3) 运行 Nessus 

再 打开 一 个 新 的 控制 台 , 输 入 nessus 命令 ,这 是 第 一 次 使 用 Nessus, 它 会 提示 用 户 输 入 
一 个 密码 ,这 是 客户 的 密码 ,输入 以 后 会 弹出 一 个 图 形 化 的 登录 界面 ,如 图 3. 3. 16 所 示 。 
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Nessusd host | Plugins | Prefs, | Scan options | Target selection | User | Credits 


New session setup 


8 Nessusd Host : [localhost 


Port : |1241 


Encryption : | twofish/ripemd160:3 


Log in 


Start the scan Load report Quit 


图 3316 Nessusd host 设置 界面 


Nessusd Host: 就 是 服务 器 所 在 的 主机 ,在 哪 台 主机 上 运行 了 nessus -D WAH IP 地 
址 ,由 于 要 扫描 的 是 本 机 漏洞 ,所 以 就 是 localhost. 
Port: 采用 默认 的 1241. 
wR S 


Encryption: 采用 默认 值 。 

Login: 填 上 运行 nessus -P 时 的 账号 名 。 

然后 单 击 Log in 按钮 ,大 概 几 秒 后 ,就 可 以 看 到 connected 的 字样 了 ,这 就 表明 连接 成 
功 了 。 当 然 ,第 一 次 登录 它 会 问 服务 器 的 密码 ,只 需 确 认 一 次 即 可 ,下 回 启动 就 不 再 询问 了 。 

4) 选择 Plugins 标签 

Plugins 是 设 定 要 检查 的 插件 ,如 图 3. 3. 17 所 示 , 使 用 者 可 以 设置 要 检查 的 系统 漏洞 ， 
要 注意 的 是 ,如 果 上 一 步 没 有 连接 上 主机 ,Plugins 项 里 是 空 的 。 


Nessusd host| Plugins | Prefs, | scan options | Target selection | User | Credits 


Plugin selection 


Misc. 

Finger abuses 
Windows 

Gain a shell remotely 
Backdoors 

CGI abuses 

General 

SNMP 

Remote file access 
Useless services 


Enable all Enable all but dangerous plugins Disable all 


RSS 


Start the scan Load report Quit 


3317 Pugns 选 项 


5) 选择 Prefs. 标签 

如 图 3. 3. 18 所 示 ,Prefs. 选项 用 于 选择 是 否 对 远程 主机 进行 Ping 测试 以 及 TCP 扫描 
方式 , 它 提供 了 TCP 全 连接 、SYN 扫描 、FIN 扫描 和 Xmas 扫描 等 几 种 方法 ,其 中 Xmas HH 
描 和 FIN 扫描 类 似 , 属 于 秘密 扫描 技术 的 变种 。 

6) 选择 Scan options 标签 

如 图 3. 3. 19 所 示 ,设置 扫描 端口 范围 是 1 一 15000, 这 样 就 包括 了 大 部 分 的 端口 。 这 里 
还 调整 最 大 线程 数 为 8, 如果 该 选项 的 值 太 大 ,有 时 容易 造成 死机 现象 。 端 口 扫描 方式 可 根 
据 需 要 进行 选择 ,在 这 里 选择 Nmap tcp connect() scan 这 种 方式 。 需 要 解释 的 是 ,nmap 是 
一 种 功能 强大 的 基于 命令 行 界面 的 扫描 工具 ,Nessus 提供 了 通过 调用 nmap 工具 进行 扫描 
的 功能 。 

端口 扫描 方式 大 部 分 都 在 原理 部 分 进行 了 介绍 ,此 外 还 有 一 种 FTP bounce scan 方式 ， 
BU FTP 返回 扫描 方式 ,在 这 种 方式 中 ,入 侵 者 利用 FTP 协议 的 代理 FTP 连接 功能 连接 到 
一 个 代理 FTP 服务 器 进行 端口 扫描 。 该 方式 隐蔽 性 强 , 但 速度 很 低 。 

7) 选择 Target selection 标签 

如 图 3. 3. 20 所 示 ,这 里 填 人 要 扫描 的 主机 的 IP 地 址 就 可 以 了 。 
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Nessusd host | Plugin 


Plugins preferences —— — ———— — - ES 


Ping the remote host: 


[7] Do a TCP ping 


[7] Do an ICMP ping 


TCP ping source port : 80 


TCP ping destination port: — [80 


Number of retries : 10 


Nmap: 
TCP scanning technique : 
图 connect() 
O SYN scan 
O FIN scan 


O Xmas Tree scan 


Start the scan Load report 


3318 Res 选项 


Nessusd host | Plugins | Prefs. | Scan options | Target selection | User | Credits | 


Scan options 
Port range : |1-15000 
Max threads : [e 
Path to the CGls : /cgi-bin 


(Do a reverse lookup on the IP before testing it 


[v] Optimize the test 


Port scanner : 


TCP Ping the remote host 
Ping the remote host 
Nmap 

Nmap tcp connect() scan 
FTP bounce scan 

TCP SYN scan 


mimic 


Start the scan Load report Quit 


图 3319 Scan optios 选 项 


Nessusd host | Plugins | Prefs. [scan options | Target selection | User | Credits 


Target selection 


Target(s) : 202.112.254.54| Read file... 


(Perform a DNS zone transfer 


Start the scan | Load report | Quit | 


3320 Tage sdedian 选 项 


User 标签 和 Credits 标签 一 般 不 用 设置 ,选择 默认 值 就 行 了 。 
8) 开始 扫描 
单 击 Start the scan 按钮 ,Nessus 就 开始 扫描 目标 主机 了 ,如 图 3. 3. 21 所 示 。 


d Nessus. poriscanning/attack. statu 


3 Portscan : 
Attack: [ sw] 


202.112.254.54 Security check : mstream handler Detect 


Stop the whole test 


3321 扫描 过 程 


9) 扫描 结果 
扫描 结束 后 ,弹出 扫描 结果 窗口 ,如 图 3.3. 22 所 示 。 
在 扫描 结果 窗口 中 ,不 同 风 险 级 别 的 端口 及 协议 被 清晰 地 标示 出 来 。 
其 中 Security Note 是 安全 注释 , Security Warning 是 安全 警告 , Security holes 是 安全 
漏洞 ,再 展开 其 中 的 一 项 ,例如 Security holes, 可 以 看 到 关于 漏洞 的 具体 说 明和 解释 。 还 可 
sUBS 


[v] Nessus "NG" Report DUO 


Subnet * || Port X 
9 ntp (123/udp) 
9  netbios-ssn (139/tcp) 9$ Security Note 
9$  netbios-ns (137/udp) 
msrpc (135/tcp) 
Q  microsoft-ds (445/tcp) 
ə general/udp 
general/tcp 
@ general/icmp 
Host 8g * 
The remote host does not discard TCP SYN packets which 
have the FIN flag set. 
Depending on the kind of firewall you are using, an 
attacker may use this flaw to bypass its rules. 
a See also : http://archives.neohapsis.com/archives/bugtraq/20 
http://www.kb.cert.org/vuls/id/464113 
Solution : Contact your vendor for a patch B 
Risk factor : Medium 一 
nin. 2407 
可 | — (nj 


Save report... Close window 


图 3322 扫描 结果 窗口 


以 单 击 下 面 的 Save report 按钮 ,把 这 次 扫描 结果 保存 为 某 种 格式 。 如 果 保 存 为 NSR 格式 ， 
可 以 用 命令 nussesd -r *. nsr 打开 某 个 扫描 结果 ;如 果 保 存 为 HTTP 格式 ,直接 用 浏览 器 打 
开 即 可 。 

3. 使 用 nmap 进行 扫描 

nmap 是 Linux 下 的 网 络 扫 描 和 嗅 探 工具 包 , 可 以 帮助 网 管 人 员 深 入 探测 UDP 或 者 
TCP 端口 ,直至 主机 所 使 用 的 操作 系统 ;还 可 以 将 所 有 探测 结果 记录 到 各 种 格式 的 日 志 中 ， 
为 系统 安全 服务 。 其 基本 功能 有 3 个 : 一 是 探测 一 组 主机 是 否 在 线 ; 其 次 是 扫描 主机 端口 ， 
嗅 探 所 提供 的 网 络 服务 ;还 可 以 推断 主机 所 用 的 操作 系统 。nmap 可 用 于 扫描 仅 有 两 个 节 
点 的 LAN ,还 可 以 扫描 500 个 节点 以 上 的 网 络 。nmap 还 允许 用 户 定制 扫描 技巧 。 通 常 ,一 
个 简单 的 使 用 ICMP 协议 的 ping 操作 可 以 满足 一 般 需 求 。 

(1) 检查 nmap 是 否 已 安装 。 

在 命令 行 界面 中 输入 以 下 命令 : 

rpm - q nmap 

返回 结果 如 图 3. 3. 23 所 示 。 

(2) 也 可 以 使 用 whereis 命令 (whereis nmap) 或 者 find 命令 (find /-name nmap) 来 验 
证 nmap 是 否 已 安装 及 其 位 置 , 如 图 3. 3. 24 所 示 。 

(3) 如 果 没 有 以 上 返回 信息 ,说 明 nmap 尚未 安装 。 在 获得 nmap 安装 包 后 ,使 用 以 下 
命令 进行 安装 : 

rpm -i nmap-2 3BETA14- 1 1386.rpm 

(4) 执行 命令 /usr/bin/nmap -h 以 获得 帮助 信息 ,如 图 3. 3.25 所 示 。 

E ES 


图 3323 用 rpm 命 令 检查 nmep 的 安装 情况 


图 3324 用 whereis 命 令 检查 rmep 的 安装 位 置 


;f root&redhat73:— 


1335 获取 nmep 帮 助 信息 


(5) 执行 以 下 命令 进行 连通 性 检测 : 


nmap - SP 192.168.0. * 


其 中 192. 168. 0 为 当前 网 段 。 运 行 结果 如 图 3.3.26 所 示 。 
(6) 执行 以 下 命令 进行 端口 扫描 ,注意 观察 开放 的 端口 号 : 


mep - SS 192.168.1.x 


x HAKH 
2-0 s 


号 ,在 本 例 中 为 159。 执 行 结果 如 图 3. 3. 27 B 


~root@redhat73: 


mm 


9336 rmep 连 通 性 检测 


3327 rmep 端 口 扫 描 


(7) 使 用 nmap 的 TCP/IP 探测 功能 查询 合作 伙伴 的 系统 信息 ,命令 如 下 : 
nanp -O 192.168.0.x 


x 为 合作 伙伴 座位 号 ,在 本 伪 


I 中 为 159。 执 行 结果 如 图 3. 3. 28 Bras. 


3328 rmep 查 询 伙 伴 系统 信息 


(9H 


E 意 返回 的 信息 , 接 下 来 使 用 同样 的 方法 查询 教师 机 的 系统 信息 ,在 返回 信息 中 应 
该 看 到 教师 机 的 开放 端口 和 操作 系统 信息 ,这 些 数据 一 旦 被 攻击 者 获得 ,就 有 可 能 ge 
击 和 破坏 。 


(9) 使 用 参数 U 检测 NT 下 的 UDP 端口 : 


nmap - SU 192.168.0.x 


x 为 合作 伙伴 座位 号 。 执 行 结果 如 图 3. 3. 29 所 示 。 


图 3329 rmap 检 测 NT 下 的 UDP 端 


0) 输入 以 下 命令 ,检测 端口 信息 ,同时 伪造 源 IP 地 址 ,这 样 做 不 仅 获 得 了 端口 信息 ， 
同时 on 检测 方 不 会 被 轻 易 发 现 .跟踪 6 


nmap - SS 192.168.0.159 - S 192.168.0.34 - e eth0 - PO 
执行 结果 如 图 3. 3. 30 所 示 。 


f root@redhat73:~ 


3330 nmep 伪 造 IP 检 测 端 


4. 使 用 X-Scan 进行 漏洞 检测 


X-Scan 是 由 安全 焦点 (Xfocus Team) 开 发 的 一 个 功能 强大 的 扫描 工具 。 它 采用 多 线程 
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方式 对 指定 IP 地 址 段 (或 单机 ) 进 行 安全 漏洞 检测 ,支持 插件 功能 ,提供 了 图 形 界 面 和 命令 
行 两 种 操作 方式 ,扫描 内 容 包 括 远 程 服务 类 型 .操作 系统 类 型 及 版 本 、 各 种 弱 口 令 漏洞 .后 
门 .应 用 服务 漏洞 网络 设备 漏洞 .拒绝 服务 漏洞 等 二 十 几 个 大 类 。 

1) 运行 主 程序 

X-Scan 主 程序 窗口 上 方 的 功能 按钮 包括 扫描 模块 .开始 扫描 、 暂 停 扫 描 、 终 止 扫描 、 检 
测报 告 .使 用 说 明 ,在 线 升 级 .退出 ,如 图 3. 3.31 所 示 。 


| 一， 系统 要 求 : Windows NT/2000/XP/2003 
理论 上 可 运行 于 Windows 柚 系列 操作 系统 ， 推 荐 运行 于 Windows 2000 以 上 的 Server 版 Mindows 系 统 。 


SEU SAPE 
.xfocus. net/project: 


xscan gui. exe 
checkhost. dat 
update. exe 
使 用 说 明 


txt 
f dat/language. ini 


3331 XScan 主 程序 


2) 扫描 参数 设置 

选择 “设置 ”菜单 下 的 “扫描 参数 ”命令 ,弹出 “扫描 参数 "窗口 ,在 “检测 范围 ”中 的 “指定 
IP 范围 ”文本 框 中 输入 要 检测 的 目标 主机 的 域名 或 IP 地 址 ,也 可 以 对 多 个 IP 地 址 进行 检 
测 。 例 如 ,输入 192. 168. 0. 1-192. 168. 0.255, 对 这 个 网 段 的 主机 进行 检测 ,如 图 3. 3. 32 所 示 。 


192. 168. 0. 1-192. 168. 0. 255 | 


图 3332 XScan 检 测 范围 
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在 “全 局 设置 ”中 ,可 以 选择 线程 和 并 发 主机 数量 ,如 图 3. 3. 33 所 示 。 在 “其 他 设置 ”中 
还 有 “ 跳 过 没有 响应 的 主机 ”和 “无 条 件 扫 描 ”, 如 果 设置 了 “ 跳 过 没有 响应 的 主机 ”, 当 对 方 禁 
止 了 Ping 或 防火 墙 设置 使 对 方 没有 响应 的 时 候 ,X-Scan 会 跳 过 当前 主机 ,自动 检测 下 一 台 
主机 。 如 果 选 择 “ 无 条 件 扫描 ”,X-Scan 会 对 目标 进行 详细 检测 ,这样 结果 会 比较 详细 ,也 会 
更 加 准确 ,但 扫描 时 间 会 延长 。 通 常 对 单一 目标 会 使 用 这 个 选项 。 


图 3333 XScan 设 置 并 发 扫描 


在 “端口 相关 设置 ?中 可 以 自 定义 一 些 需要 检测 的 端口 ,如 图 3. 3. 34 所 示 。 检 测 方式 有 
TCP 和 SYN 两 种 ,TCP 方式 容易 被 对 方 发 现 ,但 准确 性 要 高 一 些 ,SYN 则 相反 。 


图 3334 XScan 端 口 相关 设置 


“SNMP 相关 设置 > 主要 是 针对 SNMP 信息 的 一 些 检测 设置 。 
“NETBIOS 相关 设置 ?是 针对 Windows 系统 的 NETBIOS 信息 的 检测 设置 ,包括 的 项 
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目 有 很 多 种 ,根据 需求 选择 实用 的 即 可 。 
“漏洞 检测 脚本 设置 ”主要 是 选择 漏洞 扫描 时 所 用 的 脚本 ,如 图 3. 3. 35 所 示 。 


图 3335 XScan 的 加 载 脚 本 


如 果 需 要 同时 检测 很 多 主机 ,可 以 根据 实际 情况 选择 特定 的 脚本 ,如 图 3. 3. 36 所 示 。 


custom. nsl 

Backdoors 

CGI abuse: 

CGI abuses : XSS 
Default Unix Account: 
Denial of Service 


Finger abuses 
Firewalls 


Gain a shell remotel: 
Gain root remotely 
General 

Mise. 

Netware 

Peer-To-Peer File She 
Remote file access 


Service detection 
SITP problems 


E p re — = 


图 335 XScan 脚 本 设置 


“CGI 相关 设置 "“ 网 络 设置 " 和 以 前 的 版 本 区 别 不 大 ,使 用 默认 的 就 可 以 。 

“字典 文件 设置 ?是 X-Scan 自 带 的 一 些 用 于 破解 远程 账号 所 用 的 字典 文件 ,这 些 字典 都 
是 简单 或 系统 默认 的 账号 等 。 可 以 选择 自己 的 字典 或 手工 对 默认 字典 进行 修改 ,如 图 3. 3. 37 
所 示 。 默 认 字典 存放 在 DAT 文件 夹 中 。 字 典 文件 越 大 ,探测 时 间 越 长 。 

3) 扫描 模块 设置 

“扫描 模块 ?用 于 检测 对 方 主机 的 一 些 服 务 和 端口 等 情况 。 可 以 全 部 选择 或 只 检测 部 分 
服务 ,如 图 3.3.38 所 示 。 
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sal p 
Ismb user-. Vdatint user. dic 
smb pass-. Vdatint pass. dic 


3397 字典 设置 


[ELT 
ivi 


3339 扫描 模块 设置 


4) 开始 扫描 
设置 好 以 上 两 个 模块 以 后 , 单 击 主 界面 中 的 开始 扫描 按钮 就 可 以 了 。X-Scan 会 对 对 方 主 
机 进行 详细 的 检测 ,如 图 3.3.39 所 示 。 如 果 扫 描 过 程 中 出 现 错误 ,会 在 “错误 信息 ”中 看 到 。 


Scan v3.3 GUI 


图 3339 开始 扫描 
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5) 结束 扫描 

在 扫描 过 程 中 ,如 果 检 测 到 漏洞 ,可 以 在 “漏洞 信息 ”中 察看 。 扫 描 结束 以 后 会 自动 弹出 
检测 报告 ,包括 漏洞 的 风险 级 别 和 详细 的 信息 ,以 便 对 对 方 主机 进行 详细 的 分 析 。 

实验 报告 要 求 

。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 

。 阐述 遇 到 的 问题 以 及 解决 方法 。 

。 阐述 收获 与 体会 。 


3.3.6 局 域 网 信息 嗅 探 实验 

实验 器 材 

微型 计算 机 1 台 。 

预习 要 求 

(1) 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 嗅 探 软件 的 使 用 与 原理 。 


(3) 熟悉 实验 过 程 和 基本 操作 流程 。 
COR 做 好 预习 报告 。 


实验 任务 


熟悉 嗅 探 软件 的 使 用 与 原理 。 使 用 Ethereal 检测 网 络 环境 , 抓 包 、 嗅 探 并 分 析 扫 描 结 
果 。 通 过 实验 掌握 Sniffer Pro 工具 的 安装 及 使 用 ,理解 TCP/IP 协议 中 TCP IP ICMP 数 
据 包 的 结构 ,了 解 网 络 中 各 种 协议 的 运行 状况 。 


实验 环境 
硬件 环境 : 安装 Windows 2000 Server 操作 系统 或 Linux 操作 系统 的 计算 机 ,局 域 网 


环境 。 
软件 环境 : Ethereal for Linux or Windows\Sniffer Pro 4. 7. 530, 


实验 步骤 

1. 使 用 Ethereal 进行 抓 包 并 分 析 数 据 包 格 式 

Ethereal 是 Linux 下 的 一 个 自 带 工具 , 若 要 将 其 安装 到 Windows 平台 下 , 需 安装 相应 
的 补丁 。 

安装 : 找到 支持 Windows 的 Ethereal 版 本 和 补丁 安装 到 Windows 平台 下 ,安装 过 程 
与 普通 安装 程序 相同 。 

PAE “FP aR” >“ FER” > Ethereal Ethereal 运行 程序 ,如 图 3. 3. 40 所 示 。Ethereal 的 
主 界面 如 图 3. 3. 41 所 示 。 
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Microsoft PowerPoint 
> [Æ] Microsoft Word 
[7] winHex 


E e 2) oecine 
iE Adobe Reader 6.0 Ethereal Program Directory 
È 网 络 执法 官 v2.68 > ©) Ethereal web Site 

3B MSN Messenger 6.1 

( Distributed SnifferPro + © Uninstall 

(B 了 江 民 杀毒 软件 KY2004 > 


验 .… | rss... | grs... | 


3340 安装 完成 后 的 界面 


@ The Ethereal Network Analyzer ln x! 
| File Edit Capture Display Tools Help 


(No [Time [Source [Destination [Protocolfinfo | 


/| Reset] Apply|| Ready to load or capture 


图 3341 运行 Bhered 


1) 抓 包 实 例 
选择 CaptureStart 命令 ,出 现 抓 包 选 项 对 话 框 ,如 图 3. 3. 42 所 示 。 
Interface; 选择 接口 ( 指 哪 块 网 卡 ) 。 
Limit each packet to: 是 否 限 制 包 大 小 。 
Capture packets in promiscuous mode: 是 否 让 网 卡 工作 在 混杂 模式 上 。 
Filter: 包 过 滤 ( 过 滤 哪 些 包 )。 
以 上 是 基本 抓 包 设置 。 如 果 需 要 其 他 功能 ,可 以 设置 下 面 的 选项 : 
Capture file(s): 捕获 文件 。 
Display options: 扩展 选项 。 
Capture limits: 捕获 限定 。 
Name resolution: 名 称 辨别 。 
2) 数据 包 分 析 
完成 以 上 设置 后 , 单 击 OK 按钮 开始 抓 包 , 此 时 车 有 人 使 用 ping 命令 则 数据 包 会 被 
捕获 。 
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@ Ethereal: Capture Options Elelxl 


rCapture 


Interface: [D-Link DFE-530TX PCI Fast Ethernet £ Ei 
| Limit each packet to [ES S bytes 


T: Capture packets in promiscuous mode 


Filter| | 
| Capture file(s) = = 
File. 
| Use ring buffer Number of files [o e 


_| Rotate capture file every fi 局 second(s) 
[Display options — — — — — — — — — ——4 


| Update list of packets in real time 


Automatic scrolling in live capture 


r Capture limits 
J Stop capture after fi e packet(s) captured 
J Stop capture after fi S kilobyte(s) capture 


本 Stop capture after fi m second(s) 


Name resolution 
T: Enable MAC name resolution 


| Enable network name resolution 


T: Enable transport name resolution 


OK | Cancel | 


A332 设置 抓 包 规则 


图 3. 3. 43 中 黑色 部 分 是 被 截获 的 ping 包 (4 去 4 回 )。 


@ <capture> - Ethereal loi xi 
File Edit Capture Display Tools Help 


1410 4. 890005 192. 168. 1. 123 192. 168. an 101 

1444 5.009283 222.27.254.1 192.168.1.123 ICMP 

1601 6.006757 222.27.254.1 192.168.1.123 ICNP 

1776 7.007261 222.27.254.1 192.168.1.123 ICMP 

1949 8.017563 222.27.254.1 192.168. 1.123 ICMP 
3 0.012640 192.168.1.123 222.27.254.1 ICMP 


261 1.009653 192. HERREN 123 222.27.254.1 ICMP 


192. ies. 1.123 222.27.254.1 

192.168.1.101 192.168. 1.123 
899 3.004934 192.168.1.123 222.27.254.1 

192.168.1.101 192.168.1.123 


192. OBE 1.123 222.27.254.1 
8.1.101 9 


1442 5. 003741 192. 168 .1.123 222.27.254.1 ICMP 


E|Frame 1 (1510 bytes on wire, 1510 bytes captured) 
Bethernet II, Src: 02:01:00:00:00:00, ost: ff:ff:ff:ff:ff:ff 
Data (1496 bytes) 


/| Reset| Apply|| File: «capture» Drops: 0 


图 3343 抓 取 png 包 
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分 析 ping 包 , 选 中 其 中 一 个 ping 包 , 此 时 会 在 第 二 个 列表 显示 该 包 的 相关 信息 ,如 


图 3. 3. 44 所 示 。 


(& <capture> - Ethereal Sees 


File Edit Capture Display Tools Help 


No [Time — [Souce Joestinaton [Protocol | 
07 了 


24 1.005989 
25 1.006063 
26 1.006196 
27 1.006316 
28 1.006428 
29 1.006526 
30 1.021470 
31 1.021582 


Frame 1 (1510 bytes on wire, 1510 bytes captured) 1 
HEthernet II, Src: 02:01:00:00:00:00, ost: ff:ff:ff:ff:ff:ff 
Data (1496 bytes) M 


rf rf 02 01 

© de cO 03 02 00 00 01 00 
00 00 00 00 00 00 03 00 
00 00 00 00 30 10 00 00 


00 00 00 00 00 00 00 00 
AAO ana ^n n6 NN ^^ no ^ NN ^n NN NN ^n no ^n 


/| Reset| Apply|| File: «capture» Drops: 0 


3344 解码 png 包 


从 中 可 以 了 解 以 下 消息 : 


(OD 结构 : 


其 中 包括 数据 包 收 到 时 间 、 数 据 包 传输 时 间 和 帧 数 等 。 


(2) 网 络 类 型， 本 例 中 为 以 太 开 型 ,其 中 包括 来 源 、. 目 的 和 类 型 (IP) 等 。 
Internet 协议 : 其 中 有 协议 类 型 (ICMP) ,来 源 地 址 和 目标 地 址 等 。 


Internet 控制 消息 请 求 协议 : ping AY IP 地 址 ( 哪 一 方 请 求 , 哪 一 方 回应 ) 


具体 数据 内 容 在 最 下 面 的 方 框 中 显示 (为 二 进 制 码 )。 
3) 账户 和 密码 的 截获 


选择 菜单 Ethereal>Capture> Start 命令 ,在 如 图 3. 3. 42 所 示 的 抓 包 选项 对 话 村 


EE 中 选 


择 混杂 模式 , 单 击 OK 按钮 开始 捕获 数据 包 , 单 击 Stop 按钮 停止 拦截 ,捕获 的 数据 包 信息 如 
图 3. 3. 45 所 示 。 如 果 在 Ethereal 打开 时 ,有 人 正 登 录 某 信箱 ( 见 图 3. 3. 46) ,或 传输 明文 代 
码 ,该 包 将 会 被 拦截 

选中 一 个 数据 包 (TCP 协议 ) , 右 击 , 在 快捷 菜单 中 选择 Follow TCP Stream 命令 ,如 


图 3. 3. 47 所 示 。 


显示 TCP 包 的 信息 ,如 图 3. 3. 48 所 示 。 
在 该 数据 流 中 可 以 看 到 用 户 的 名 称 、 密 码 和 时 间 等 相关 信息 (URL 上 方 为 用 户 信息 ， 
URL 下 方 为 网 站 反馈 信息 )。 例 如 : 
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baozong&password= 22222222 


注意 : Ethereal 不 能 开启 太 长 时 间 , 如 果 拦 截 的 数据 包 过 多 ,超过 
力 ,Ethereal 将 会 


LA 3 
HB I o 


Ethereal 的 承受 能 


(@ (untitled) - Ethereal eee) 


File Edit View Go Capture Analyze Statistics Help 


See SOAx* eS OerxvvF 2 [Se 
El El 


192.168. 


192.168. 

192.168. 

112.101. 

192.168. 
. 708577 192.168. 
. 708578 192.168. 
. 921991 112.101. 
. 922141 192.168. 
. 922143 192.168. 
.922215 192.168. 
.094898 112.101. 
.095232 192.168. 
-095234 192.168. 
-095307 192.168. 
.150717 112.101. 
.150935 192.168. 
.150936 192.168. 
. 216987 112.101. 
-217254 192.168. 
.217286 192.168. 
- 217331 192.168. 


File: "CAUSersWDMINI- TAppDatalLocaNTemptethenoOXQG.— P: 479 D: 479 M:0 Du 0 


3345 JUR TOP 数 据 包 


a4 vi 2 112 anette 


Harbin Engineering University 


O 用 户 登 录 


用 户 名 123456 
E peer] 


忘记 密码 ”使 用 帮助 [2 


3. 第 一 次 登录 时 ， 系 统 会 进行 初始 化 ， 有 反应 时 间 稍 长 ;请 耐心 等 伐 


图 3346 登录 邮箱 


* 101 


BE 
File Edit View Go Capture Analyze Statistics Help 


Saga ocax« eo QerdFEL 
Eiter ip adar eq 192.169.1.101 and ip.addr eq 202.118.177.80) and (tcp.! ™ | Expression... Clear| 


177 2.594387 202.118.177.80 192.168.1.101 


Mark Packet (toggle) 
Time Reference 


190 2.650902 202.118.177. 80 Apply as Filter 
192 2.660462 202.118.177. 80 EET 


193 2.660466 202.118.177.80 
ollow TCP Stream 


Follow SSL Stream 


"3i Decode As... 
& Print... 


tH Frame 180 (819 bytes on wire, 819 bytes Show Packet in New Window 

日 Ethernet II, Src: Giga-Byt b7:69:86 (00:0f:ea:b7:69:86), Dst: Hewlet 
田 Destination: HewlettP_54:cb:b7 (00:11:0a:54:cb:b7) 
m snurra: Cina-Rur h7-&0-&R& (ün-0f-aa-h7-50- 86 

1 


000 00 11 Oa 54 cb b7 00 Of ea b7 69 86 08 00 45 00 
010 03 25 40 9f 40 00 40 06 00 00 cO a8 O1 65 ca 76 
020 bi 50 c9 eO 00 50 8e ae e6 66 b9 Se 43 fb 50 18 
030 40 29 40 ec 00 00 50 4f 53 54 20 2f 77 65 62 2f 


334 解码 TP, 


(d Follow TCP stream 


DNT: 

user-agent: Mozilla/5.0 (compatible; MSIE 9.0; windows NT 6.1; Trident/5.0 
QQBrowser /7 . 6. 22690. 400 

Referer: http://portal.hrbeu. edu. cn/indexNone/index none. jsp?error=1 
Accept-Language: zh-CN 

ontent-Type: application/x-www-form-ur encoded 

Accept-Encoding: gzip, deflate 

Host: portal.hrbeu. edu. cn 

ontent-Length: 199 

onnection: Keep-Alive 

ache-Control: no-cache 

ookie: JSESSIONID-B4CACE1E3172C9972814067C27F693F6. tomcat2; GUEST. LANGUAGH 
OOKIE_SUPPORT=true 


lp_p_id=58&p_j 
fé2F log i néc2 FA 
emporarily 
Date: Sat, 24 May 2014 06:41:33 GMT 

Iserver: Apache/2.2.16 (unix) mod jk/1.2.28 

Location: uiu //portal.hrbeu. edu. cn/indexNone/index none. jsp?error=1 
ontent-Length: 0 

Keep-Alive: timeout-5, max-100 

onnection: Keep-Alive 

ontent-Type: text/html; charset-UTF-8 


| mode-vie 


=1234 50% 


w&p. p. col. id-column. 
HE 7269 9%XBBHE 5%BD%9 5| 


ET /indexNone/index_none. jsp?error=1 HTTP/1.1 
Accept: text/html, application/xhtmlexml, */* 


User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; windows NT 6.1; Trident/5.0; 
OBR OFS er 1718222 690-400) . 
tp: 


Referer: 


图 3348 获取 用 户 名 和 密码 


提示 : 在 网 络 上 传输 数据 时 一 定 要 注意 保密 性 ! 

2. 用 Sniffer Pro 抓 取 数据 包 并 实例 分 析 

(1) 将 Sniffer Pro 安装 在 本 机 Windows 2000/XP(192. 168. 0. 245) 上 ,如 图 3. 3. 49 所 示 。 
(2) 安装 完成 ,如 图 3. 3. 50 所 示 。 

(3) 启动 Sniffer Pro 软件 。 

启动 Sniffer Pro 软件 后 可 以 看 到 它 的 主 界面 ,如 图 3. 3. 51 所 示 , 启 动 的 时 候 有 时 需要 


选择 相应 的 网 卡 (adapter) ,然后 即 可 启动 软件 。 
“ 102 * 


‘Welcome to the Sniffer Pro Setup program. This 
program will install Sniffer Pro on your computer. 


It is strongly recommended that you exit all Windows programs 
before running this Setup program. 


Click Cancel to quit Setup and then close any programs you 
have running. Click Next to continue with the Setup program. 


WARNING: This program is protected by copyright law and 
Unser ed temodueton er eb ef this poora. oh arw, 
criminal penalties, and 


portion of it, may result in severe civil and 
will be prosecuted to the maximum extent possible under law. 


[zr] m | 


3340 安装 界面 


Setup Complete 


Setup has finished copying files to your computer. 


Before you can use the program, you must restart Windows or 
your computer. 


No, | will restart my computer later. 


Remove any disks from their drives, and then click Finish to 
complete setup. 


3350 安装 完成 


Sniffer - Local, Ethernet (Line speed at 100 Mbps) 
e Monicor Capture Display Tools Database Window Help 


sn mie | #8] 让 | [Newt 可 
a] aja Sel tleleialalal 2] e| GI 


For Help, press FL 


3351 Sniffer Ro 主 界面 


主 界面 的 工具 栏 如 图 3. 3. 52 所 示 。 
捕获 报 文 按钮 


| allal S| [fon = 


Pea 2 EE RTI Se EIL 
图 33S2 TRE 


Dashboard 可 以 监控 网 络 的 利用 率 、 流 量 及 错误 报 文 等 内 容 , 如 图 3. 3.53 所 示 。 


® Dashboard DEK 
= 
统计 小 均 数据 
O £1 Fackets/s s 
> 
3353 ”Dashboard 界 面 
从 Host Table 中 可 以 直观 地 看 出 连接 的 主机 ,如 图 3.3.54 所 示 , 显 示 方 式 为 IP 地 址 。 


SE Host Table; 13 stations 


IP Ader 4 [InEytes —— [OutBytes 
By 202 112252.238 0 
By 202 112 252.254 

202.112.254.132 


5.102 
Ea 221 
Æ 202.112.255.255 

211.137.168.187 


gg 219.1334030. 
S 54.2 


连接 的 主机 的 IP p 


图 3354 Host Tade 界 面 


(4) 定义 过 滤器 来 捕 提 192. 168. 0. 40 上 的 IP 数据 包 ,如 图 3. 3. 55 和 图 3. 3. 56 所 示 ， 
完成 设置 后 单 击 OK 按钮 。 

(5) 从 Sniffer 软件 中 选择 菜单 Monitor 菜单 一 Matrix 命令 ,图 3.3.57 显示 了 192. 
168. 0. 40 的 通信 情况 , 右 击 该 地 址 ,在 快捷 菜单 中 选择 Capture 命令 开始 捕捉 。 

(6) 在 停止 捕捉 后 ,选择 Decode 选项 ,查看 捕捉 到 的 IP 包 , 如 图 3.3.58 所 示 。 

(7) 从 图 3. 3. 59 可 以 看 出 有 3 个 窗口 ,最 上 面 的 窗口 是 捕获 的 数据 ,中 间 的 窗口 是 数 
据 分 析 , 最 下 面 的 窗口 是 原始 数据 包 , 用 十 六 进 制 表示 。 例 如 ,TCP Source port=1282 对 应 
下 面 的 05 02。 
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2x) 
Summary | Address | Data Pattern Advanced | Buffer | SUELE 
Default 


DOY DEC sca 
OY DECHET 
DD FRAME RELAY LAT 

OF m m 

OF ree SNA [| 
DY IEFES02. 11 

ve 

[Y IP ARP 

OF rive 司 


田 - 田 


(Packet Size [ Packet Type 


m | 


(Normal 
(ICRC Error | 
[vJabber zi 


All sizes 


取消 Profiles. 


图 33 殉 ”定义 过 滤器 


2x1 


Summary Address | Data Pattern | Advanced | Buffer | Settings For: 


Mode] | BB Broadcast/Multicast Address 
G Include QD Address Book 
C Exclude 


取消 Profiles. 


图 3356 定义 嗅 探 地 址 


Sniffer - Local, Ethernet (Line speed at 10 Mbps) - [Matrix : 22 stations] BITES] 
^? Ele Monitor Capture Display Tools Database Window Help „laj x) 


»| u| ajajaa] x] 
A Epshi Saaana Z| e e 


Traffic Map 


BROADC 


202.101 9: 


Stop and display capture & s zw An 


3357 显示 通信 情况 


7/143 Ethernet Frames] 


4 ME-a.gtld-servers. 
R ID=74 OP-QUERY STAT-OK | NÀME*a .gt1d- 
C ID*75 OP*REGISTER NAME«co& 


R ID=75 OP=REGISTER STAT=Refused 


D=1270 S=S3 SYN ACK-1609037049 SEQ-4129 
D=53 S=1270 ACK=412905874 WIN=17424 
: C ID=54784 OP=QUERY NAME=1047972020242-: 
D=1270 S*53 ACK=1609037189 VIN=6432 
: R ID=54784 OP-QUERY STAT=Eornat error 
D-53 S=1270 FIN ACK-412905888 SEO-16090 


Version = 4, header length = 20 bytes 
Type of service = 00 
000 * routine 
normal delay 
normal throughput 
normal reliability 
ECT bit - transport protocol vill ignore the CE bit 
CE bit - no congestion 
Total length 48 bytes 
Identification = 1282 
Flags AX 
1 don't fragment 
0 last fragnent 
Fragment offset = 0 bytes 
Tine to live 128 seconds/hops 


niffer - Local, Ethernet (Line speed at 10 Mbp 7 83/143 Ethernet Frames] 


1278 S*53 FIN ACK=1611369269 SEQ=4349 
.|TCP. 53 S=1278 ÀCK-434979081 WIN=17410 
DNS: R ID*81 OP-REGISTER STAT=Refused 
TCP: D*1282 $*53 SYN ACK=1611929768 SEQ*4379. 
.|TCP: D*53 S=1282 ÀCK*437922457 VIN*17424 
DNS: C ID*23680 OP-QUERY NAME*1047972020242-: 
DNS: R ID-23680 OP-OUERY STAT-Format error 


Lj IP: Destination address = [192.5.6.30]. a.gtld-servers net 


TCP: —--- TCP header 一 一 
TCP 


Destination port 53 (Domain) 
Initial sequence number * 1611929767 
Next expected Seq number= 1611929768 
Data offset 28 bytes 
Flags 02 


(No acknovledgnent ) 
(No push) 
(No reset) 
SYN 

0 = (No FIN) 


= (No urgent pointer) 


40 00 80 06 6e ae c0 a8 00 28 c0 05 
0 35 60 14 18 a7 00 00 00 00 70 02 
0 00 02 04 OS b4 01 01 04 02 


339 数据 分 析 窗 口 


(8) 从 窗口 中 可 以 看 出 ,IP 数据 包 封 装 在 TCP 数据 包 的 前 面 ,如 图 3. 3. 60 所 示 。 
(9) IP 数据 包头 的 结构 如 图 3. 3. 61 所 示 。 查 看 IP 头 , 如 图 3. 3. 62 所 示 。 

(10) 查看 TCP 包 , 如 图 3.3.63 所 示 。TCP 包头 的 结构 如 图 3. 3. 64 所 示 。 

(11) 定义 过 滤器 来 捕捉 192. 168. 0. 40 的 ICMP 数据 包 , 如 图 3. 3. 65 所 示 。 
(12) 从 本 机 (192. 168. 0.245)Ping 目标 主机 (192. 168. 0. 40) ,如 图 3. 3. 66 所 示 。 


* 106 * 


TCP 头 TCP 数据 


Version = 4. header length = 20 bytes 
Type of service = 
000 


Total length = 
Identification = 
Flags = 

1 " 

0 " 
Fragment offset = 
Time to live = 
Protocol = 
Header checksum = 
Source address 


00 

* routine 

normal delay 

normal throughput 

normal reliability 

ECT bit - transport protocol vill ignore the CE bit 
CE bit - no congestion 


don't fragment 
last fragment 
0 bytes 
128 seconds/hops 
6 (TCP) 
6EAE (correct) 
= [192.168.0.40]. VIR207 


Destination address = [192.5.6.30]. a.gtld-servers.net 


No options 


13 位 片 位 移 
16 位 首部 核验 和 
32 位 源 地 址 IP 
位 目的 地 址 IP 
选项 (如 果 有 ) 


图 3361 IP 数 据 包头 结构 


107 


‘at 10 Mbps) - [Snifl: Decode, 83/143 Ethernet Frames] 


D=1282 S-53 SYN ACK=1611929768 SEQ=4379: 
D*53 Se1282 
C ID-23680 OP= 

: R ID«23680 OP-QUERY STAT«Format error 


2 EIN ACK-437322471 Spi 
N SED 612245154 LEN=0 


282 Si 
D*53 S*1282 4 
D-1283 S=53 SYN ACK-1612245155 SEQ«4354 


Version = 4, header length = 20 bytes 
Type of service = 00 
000 * routine 
normal delay 
normal throughput 
normal reliability 
ECT bit - transport protocol vill ignore the CE bit 
CE bit - no congestion 
Total length 48 bytes 
Identification = 1318 
Flags Ax 
1 don't fragment 
0 last fragment 
Fragment offset = 0 bytes 
Tine to live 128 seconds/hops 
Protocol 6 (TCP) 
Header checks EAE (correct) 


IP: Destination address + [192.5.6.30]. a 
IP: No options 
IP 


33@ 查看 IP 头 


Sniffer - Local, Ethernet (Line speed at 10 Mbps) - [Snifl: Deco 143 Ethernet Frames] 


282 S*S3 SYN ACK*1611929768 SEQ*4379. 
DeS3 S*1282 M MR i0 VIN*17424 
: C ID«23680 OP-QUERY NÀME-1047972020242-. 
R D-23680 OP-QUERY STAT-Format error | 让 
D«53 S*1282 FIN ACK#=437922471 SEQ=16119. 
D53 S=1283 SYN SEQ-1612245154 LEN«0 UI 
D-1282 S=53  — ACK-1611929908 VIN-6432 
D*53 $*1282 ÀCK*437922471 VIN*17410 
ie D*1282 S*S3 FIN ACK*1611929909 SEQ*4379. 
vi 207 .gtld-servers. D«53 $-1282 ACK=437922472 VIN-17410 
D-1283 5-53 SYN g 


PEET 
IRONESSeSanes 


Source port = 1282 
Destination port = 53 (Domain) 
Initial sequence number * 1611929767 
Next expected Seq number= 1611929768 
Data offset = 28 bytes 
Flags = 02 
0 * (No urgent pointer) 
0 = (No acknovledgment) 
0... * (No push) 
0.. * (No reset) 
1. = SYN 
0 = (No FIN) 
Window = 16384 
Checksum = 3E39 (correct) 


Options follow 
r Maximum segment size * 1460 
Bj TCP; No-op 
TCP: No-op 
TCP; SACK-Pernitted Option 


336 TCP 包 解码 
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源 端口 号 : 1282 目标 端口 号 : 


mi 
w 


32 位 询问 序号 : 1611929767 


32 位 确认 序号 : 1611929768 


偏 移 | 保 留 | URG| ACK | PSH | PST | SYN | FIN | 16 位 窗口 大 小 : 65535. 
16 位 校 验 和 16 位 紧急 指针 
选项 


图 3364 TCP 包 头 结构 


SS 2x 
Summary | Address | Date Pattern Advanced | 


CY IN m 
DY IBM SNA 
0 IEEE802 11 
o My i 
口 


EGP 


-Facket Iype 
E Mond 
CRC Error 
IWJabber z 
取消 “| Profiles... 


2000 [Ve 
2000 Mic 


图 3365 Ping 目 标 主机 


(13) 停止 捕 提 后 从 Decode 窗口 中 找 出 ECHO 及 ECHO REPLY 数据 包 , 如 图 3. 3. 67 
所 示 。 

(14) 分 析 ICMP 数据 包头 信息 ,如 图 3. 3. 68 所 示 。 

ICMP 类 型 : 8, 

代码 : 0。 

校 验 和 : 395C( 正 确 )。 

确认 号 : 1024, 

序号 : 4096。 
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58 Ethernet Frames] 


= Station Iwill 00C41E 


Ethertype 


Version = 4 


= 0800 (IP) 


header length = 20 bytes 


Type of service = 00 


000 


Total length 
Identification 
Flags 


0 
Fragment offset 
Time to live 
Protocol 


= routine 
normal delay 

normal throughput 
normal reliability 


ECT bit - transport protocol vill ignore the CE bit 


CE bit - no congestion 
60 bytes 

603 

ox 

may fragment 

last fragment 

0 bytes 

128 seconds/hops 

1 (ICHP) 


Header checksun 
Source address 


BSF8 (correct) 
= [192.168 0.245] 


04 00 10 00 61 62 63 64 65 66 


abcdef 
67 68 69 6a 6b éc 6d 6e 6f 70 71 72 73 74 75 76 


rstuv 


Totel length 
Identification 
Flags 
0 may fragment 

last fragaent 
0 bytes 
128 seconds/hops 
1 (ICMP) 
BSF8 (correct) 

= [192.168.0.245] 
Destination address » [192.168.0 40] 
No options 


Fragment offset 
Tine to live 


-—-- ICMP header 一 -一 


Code = 0 

Checksum = 395C (correct) 
Identifier = 1024 
Sequence number = 4096 
[32 bytes of data] 


[Normal end of "ICMP header*.] 


Dc 23 62 a6 97 


ol c4 le 08 00 45 00 
3c 02 Sb 00 00 90 0 


c0 a8 00 fS cO a8 


图 336 ICMP 包 的 具体 结构 


数据 长 度 : 32B。 
提示 : 
(1) Sniffer 是 一 个 强大 的 抓 包 工具 ,数据 包 分 析 功 能 强大 ,如 果 正 确 使 用 ,对 于 分 析 、 定 
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位 网 络 故障 十 分 有 用 。 

(2) 由 于 Sniffer 工具 功能 强大 ,甚至 可 以 充当 黑客 工具 ,因为 很 多 协议 是 明文 传输 ,如 
FTP, Telnet 等 ,通过 Sniffer 工具 可 以 查看 用 户 名 和 密码 。 

(3) 从 OSI 结构 上 看 ,IP 包 属 于 第 三 层 (网 络 层 ),TCP 包 属 于 第 四 层 ( 传 输 层 ) ,在 数据 
包 中 JIP 头 在 TCP 头 的 前 面 。 

(4) 从 实验 中 可 以 清晰 地 看 出 TCP 的 三 次 握手 过 程 。 

(5) 由 实验 可 以 看 出 ,Sniffer Pro 可 以 探查 出 局 域 网 内 流动 的 任何 信息 ,其 中 包括 用 户 
名 和 密码 之 类 敏感 的 数据 ,所 以 数据 在 局 域 网 内 的 安全 就 至 关 重 要 了 。 其 实 , 只 要 在 计算 机 
内 安装 网 络 防火 墙 , 并 把 Windows 操作 系统 的 安全 级 别提 高 ,Sniffer Pro 工具 就 可 能 嗅 探 
不 到 任何 信息 。 


实验 报告 要 求 


实验 目的 。 

附 上 实验 过 程 的 截图 和 结果 截图 。 
阐述 遇 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 
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第 4 童 远程 控制 实验 


4.1 远程 控制 原理 


所 谓 远 程控 制 ,是 指 管理 人 员 在 异地 通过 计算 机 网 络 联通 被 控制 的 计算 机 ,将 被 控 计算 
机 的 桌面 环境 显示 到 自己 的 计算 机 上 ,通过 本 地 计算 机 对 远 端 计算 机 进行 配置 .软件 安装 和 
文件 编辑 等 工作 。 当 操作 者 使 用 主 控 计 算 机 控制 被 控 端 计算 机 时 ,可 以 启动 被 控 端 计算 机 
的 应 用 程序 ,使 用 被 控 端的 文件 资料 ,甚至 可 以 利用 被 控 端 计算 机 的 外 部 设备 和 通信 设备 来 
进行 工作 。 

远程 控制 必须 通过 网 络 才能 进行 。 位 于 本 地 的 计算 机 是 操纵 指令 的 发 出 端 , 称 为 主 控 
端 或 客户 端 , 非 本 地 的 被 控制 的 计算 机 称 为 被 控 端 或 服务 器 端 。 


4.1.1 远程 控制 技术 


随 着 网 络 的 快速 发 展 以 及 计算 机 管理 和 技术 支持 的 需要 ,远程 操作 及 控制 技术 越 来 越 
引起 人 们 的 关注 。 远 程控 制 支持 多 种 网 络 方 式 : LAN. WAN ,拨号 方式 及 互联 网 方式 。 此 
外 ,远程 控制 还 支持 通过 串口 .并口 和 红外 端口 来 对 目标 主机 进行 控制 。 传 统 的 远程 控制 技 
术 一 般 使 用 NETBEUINETBIOS IPX/SPX 和 TCP/IP 等 协议 来 实现 ,此 外 ,还 支持 Java 
技术 ,以 实现 不 同 操作 系统 下 的 远程 控制 。 远 程控 制 的 工作 原理 如 图 4.1.1 所 示 。 


rei 


SS uc 


EJ 服务 器 D 


图 411 远程 控制 的 工作 原理 


远程 控制 由 两 部 分 组 成 : 客户 端 (Client) 程 序 和 服务 器 端 (Server) 程 序 。 在 进行 远程 
控制 前 ,需要 事先 将 客户 端 程序 安装 到 主 控 端 计算 机 上 ,服务 器 端 程序 安装 到 被 控 端 计算 机 
上 。 对 于 Windows XP 或 Windows Server 2003 操作 系统 而 言 ,可 以 利用 随机 自 带 的 系统 
程序 实现 远程 控制 。 

远程 控制 的 过 程 是 : 先 在 主 控 端 计算 机 上 执行 客户 端 程序 ,向 被 控 端 计算 机 中 的 服务 
器 端 程序 发 出 信号 ,建立 一 个 特殊 的 远程 服务 ;通过 这 个 远程 服务 ,使 用 远程 控制 功能 发 送 
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远程 控制 命令 ,控制 被 控 端 计算 机 运行 。 
4.1.2 远程 控制 方式 


远程 控制 的 实现 方式 通常 有 两 种 : 点 对 点 方式 和 点 对 多 点 方式 。 

如 图 4.1. 2 所 示 ,Windows XP 或 Windows Server 2003 操作 系统 的 主机 通常 采用 点 对 
点 工作 方式 。 点 对 点 控制 指 的 是 一 个 远程 客户 端的 程序 在 同一 时 间 内 只 能 连接 并 控制 唯一 
一 台 远 程 计算 机 。 点 对 点 控制 程序 以 客户 端 控 制服 务 器 端的 模式 工作 ,这 也 是 远程 访问 控 
制 中 运用 得 最 普遍 的 情况 。 点 对 点 的 访问 控制 主要 应 用 于 对 远程 主机 进行 具体 控制 和 监控 
的 需求 。 

交换 机 交换 机 
CE 


传送 数据 亿 Xe 
& > 


被 控 端 计算 机 十 控 端 计算 机 
412 远程 控制 的 点 对 点 方式 


一 些 专业 软件 ,如 远程 控制 软件 pcAnywhere, 可 以 借助 局 域 网 的 优势 用 一 台 计 算 机 控 
制 多 台 计 算 机 ,实现 对 远程 主机 的 多 点 控制 ,如 图 4.1.3 所 示 。 点 对 多 点 的 访问 控制 可 以 在 
同一 时 间 内 对 一 台 或 多 台 远程 计算 机 进行 控制 。 点 对 多 点 的 访问 控制 流程 和 点 对 点 相反 ， 
首先 由 每 个 客户 端 程序 向 服务 器 端 程序 发 出 连接 请 求 ,建立 连接 之 后 ,服务 器 端 就 可 以 对 多 
台 远 程 计算 机 的 客户 端 程序 发 出 指令 并 由 客户 端 程序 执行 指令 。 点 对 多 点 的 访问 控制 主要 
应 用 于 控制 大 范围 计算 机 领域 ,如 定时 、 收 费 和 监督 等 。 
S 


pm TQ 


传送 数据 人 也” 


被 控 端 计算 机 


传送 数据 包 


被 控 端 计算 机 
413 远程 控制 的 点 对 多 点 方式 


传送 数据 包 


QA 
< “KO 


主 控 端 计算 机 


远程 控制 在 计算 机 网 络 管理 与 维护 中 应 用 相当 普遍 ,网 络 管理 员 可 以 通过 接 入 局 域 网 
中 的 任意 一 台 计 算 机 ,通过 远程 控制 方式 对 网 内 服务 器 等 设备 进行 管理 和 维护 ,实现 在 服务 
器 上 进行 软件 安装 .系统 升级 ,数据 备份 以 及 日 志 查看 等 功能 。 


eT s 


4.1.3 远程 控制 软件 


随 着 数字 信息 处 理 需 求 越 来 越 广泛 ,远程 控制 越 来 越 多 地 应 用 到 人 类 生活 和 工作 中 ,下 
面 介绍 三 款 国内 外 著名 的 远程 控制 软件 。 


4.1.3.1 软件 简介 


1. DlinkPC( 中 国 ) 

DlinkPC 是 一 款 目 前 国内 集 远程 控制 .远程 开关 机 、 监 控 和 VPN 为 一 体 的 远程 服务 平 
台 。 只 要 申请 用 户 名 ,在 被 控制 的 计算 机 里 运行 被 控 端 程序 ,登录 后 设置 好 远程 访问 的 密码 ， 
就 可 用 主 控 端 程序 ,通过 相同 的 用 户 名 和 远程 访问 密码 进行 远程 桌面 控制 下载 /上 传 文件 。 

2. TeamViewer( 德 国 ) 

TeamViewer 可 以 在 任何 防火 墙 和 NAT 代理 后 台 进 行 远 程控 制 ,实现 桌面 共享 和 文件 
传输 。 为 了 连接 到 另 一 台 计算 机 ,需要 在 两 台 计 算 机 上 同时 运行 TeamViewer。 软 件 第 一 
次 启动 时 在 两 台 计 算 机 上 自动 生成 伙伴 ID, 只 需要 输入 伙伴 ID, TeamViewer 就 会 立即 建 
立 起 连接 。 该 软件 是 至 今 唯 一 一 款 能 穿 透 内 网 的 远程 控制 软件 ,可 以 穿 透 各 种 防火 墙 ,任何 
一 方 都 不 需要 拥有 固定 的 TP 地 址 ,双方 可 以 相互 控制 。 

3. pcAnywhere( 美 国 ) 

pcAnywhere 是 一 款 独 特 的 集成 解决 方案 , 它 结 合 了 远程 控制 .远程 管理 ,高 级 文件 传 
输 功 能 和 强健 的 安全 性 ,可 以 提高 技术 支持 效率 并 减少 呼叫 次 数 。 使 用 pcAnywhere 可 实 
PAX Linux 和 Windows 系统 的 远程 管理 ,从 而 避免 使 用 命令 行 工 具 。 使 用 被 控 端 会 议 功 
能 ,可 以 建立 起 一 个 pcAnywhere 被 控 端 的 多 个 并 发 远程 连接 。 


4.1.3.2 性 能 比较 


1. 安全 性 对 比 
(1) DlinkPC: 登录 被 控 端 软件 后 ,需要 设置 一 系列 安全 选项 (如 远程 访问 权限 .远程 访 
问 功能 和 远程 访问 密码 等 ) ,如 图 4.1.4 所 示 。 


图 414 DinkPC 访 问 设置 
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(2) TeamViewer: 在 软件 选项 中 设置 固定 密码 , 既 增加 安全 性 ,又 确保 密码 不 会 变化 。 
根据 安全 级 别 设置 访问 权限 ,限制 控制 方 的 操作 权限 ,如 图 4.1.5 所 示 。 


© IeamViewer 选项 


(em “| 远程 控制 [演示 “| 安全 。 | 自 定义 名 请 ] 高 级] 
Ex 
3 员 在 Teamviewer 里 安全 和 隐秘 是 非常 重要 的 
es mone EID Team emer 连接 都 提供 了 100% 安 全 的 


ZELE TeamViewer 关闭 Banus ,并 且 这 里 的 这 些 安全 设置 提供 了 
不 同 级 别 的 赠 经 型 访问 控制 ， 


入 站 访问 控制 


| 查看 和 显示 


您 的 忆 伴 可 以 查看 您 的 桌面 但 未 控制 您 的 


i. 
点 击 "详情 " 以 查看 预定 的 设置 


415 TeanMewer 访问 设置 


(3) pcAnywhere: 允许 被 控 方 主动 设置 用 户 名 和 密码 ;在 主 控 端 可 以 设置 连接 时 的 加 
密级 别 , 为 主 控 端 设 定 密码 ,提高 远程 访问 过 程 的 安全 性 。 

2. 服务 器 响应 速度 对 比 

服务 器 响应 速度 如 表 4. 1. 1 所 示 。 


表 4.1.1 服务 器 响应 速度 


软件 名 称 服务 器 响应 时 间 软件 名 称 服务 器 响应 时 间 
TeamViewer 5 一 8s pcAnywhere 不 需要 服务 器 
DlinkPC 3~8s 


3. 操作 方式 对 比 

3 种 软件 的 主要 功能 对 比如 表 4. 1. 2 Bron. 

CD DlinkPC: 软件 分 为 主 控 端 .被 控 端 以 及 临时 客户 端 3 个 部 分 。 必 须 在 网 站 上 注册 
好 账号 ,登录 主 控 端 和 被 控 端 程序 ,就 可 以 在 列表 中 看 到 被 控 端 上 线 , 并 进行 控制 。 如 果 没 
有 申请 账号 ,可 以 让 主 控 端 生成 临时 账号 ,在 临时 客户 端 登录 ,也 能 进行 控制 。 

(2) TeamViewer: 软件 把 两 端的 功能 进行 整合 ,软件 安装 后 的 主机 既 可 做 主 控 端 也 可 
以 做 被 控 端 用 。 只 要 得 到 对 方 的 ID 以 及 密码 ,就 可 以 进行 远程 协助 或 者 控制 。 

(3) pcAnywhere: 程序 必须 同时 安装 在 主 控 端 和 被 控 端 计算 机 中 。 在 主 控 端 计算 机 
中 ,可 通过 “联机 向 导 ” 命 令 , 利 用 随后 打开 的 向 导 对 话 框 去 创建 主 控 端 。 与 主 控 端 的 创建 方 
式 不 同 , 在 创建 被 控 端 向 导 中 可 设 定 连 接 的 用 户 名 及 密码 。 

pcAnywhere 是 赛 门 铁 克 公 司 的 著名 产品 ,该 软件 适用 于 所 有 版 本 的 Windows 操作 系 
统 。 该 软件 的 使 用 与 管理 方式 比较 灵活 ,用 户 可 以 按照 自己 的 需要 单独 安装 主 控 端 或 被 控 

A 


表 4.1.2 软件 主要 功能 


主要 功能 TeamViewer DlinkPC pcAnywhere 
远程 开机 x J v 
远程 控制 桌面 VJ J J 
远程 复制 .粘贴 文字 J J J 
允许 多 重 连 接 x J V 
Windows 账户 验证 x x x 
文件 管理 (文件 上 传 、 下 载 ) Ni v J 
文件 搜索 功能 x x x 
文件 断 点 续 传 J J x 
语音 视频 J J x 
桌面 .视频 、 语 音 录制 J J x 
远程 旋转 视频 监控 VJ Ni x 
VPN J vV x 
自动 升级 x x x 
查看 登录 记录 VJ vV NA 
隐 性 功能 (隐藏 软件 ) x x x 
强制 中 转 ( 穿 透 代理 上 网 ) x x x 


端的 软件 ,根据 需要 在 被 控 端 上 创建 各 种 连接 下 的 远程 控制 方案 ,并 能 根据 不 同 的 用 户 分 配 
不 同等 级 的 权限 。 在 安全 性 能 方面 ,pcAnywhere 提供 了 多 种 验证 方式 和 加 密 方式 ,用 户 可 
以 直接 使 用 网 络 系统 的 用 户 资料 库 验证 远程 连接 ,也 可 以 创建 独立 的 远程 控制 账户 ,根据 需 
要 选择 加 密 数 据 方式 ,保证 传输 过 程 中 数据 不 被 窃取 。 


4.2 远程 控制 实验 
4.2.1 软件 的 安装 与 使 用 


实验 器 材 

pcAnywhere 软件 系统 ,1 套 。 

PC( Windows XP/Windows 7).1 @. 
预习 要 求 


CD 做 好 实验 预习 ,复习 远程 控制 技术 的 有 关内 容 。 
(2) & 2] pcAnywhere 软件 的 操作 方法 。 
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(3) 熟悉 实验 过 程 和 基本 操作 流程 。 
(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,学 会 在 Windows 环境 下 安装 pcAnywhere. 

实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 已 安装 Windows 操作 系统 。 
预备 知识 


(1) 远程 控制 原理 及 基本 协议 。 
(2) 远程 控制 技术 概念 及 原理 。 


实验 步 又 


pcAnywhere 4} Full, Host 以 及 Remote 等 版 本 ,可 以 根据 实际 需要 选择 不 同 的 版 本 来 
安装 。 本 文 所 使 用 pcAnywhere 的 版 本 是 V12. 5。 
(1) 打开 pcAnywhere V12. 5 的 主 安装 文件 Symantec pcAnywhere v12. 5. exe, 出 现 安 
装 向 导 窗 口 , 如 图 4. 2.1 所 示 。 
JY Symantec pcAnywhere - InstallShield Wizard —— Leo | me 


ip Symantec pcAnywhere 安装 


tallshield(R) 向 导 将 安装 Symantec pcAnywhere 到 您 的 计 | 
Bin es 请 单 击 下 一 步 “。 


(«E50 Jona. 


图 421 pcAnywhere 安装 界面 


(2) 单 击 “ 下 一 步 ” 按 钮 ,在 许可 协议 中 选择 “我 接受 许可 协议 中 的 条 款 ”, 并 单 击 “ 下 一 
步 ” 按 钮 。 

(3) 在 客户 信息 中 填写 “用 户 名 ”和 “组 织 ”, 如 图 4. 2.2 所 示 。 

(4) 在 “安装 位 置 设置 ”中 选择 pcAnywhere 的 安装 磁盘 位 置 .使 用 默认 路 径 即 可 。 

(5) 在 “ 自 定义 安装 ”中 ,作为 主机 管理 员 , 可 以 选择 典型 安装 , 即 主 机 管理 员 和 主机 管 
理 员 代理 。 但 作为 被 控 端 ,需要 同时 选择 这 两 项 ,如 图 4.2. 3 所 示 。 

(6) 4]3& Symantec pcAnywhere, 意 思 是 在 桌面 上 放置 pcAnywhere 的 快捷 方式 , 单 击 


sais 


客户 信息 
请 输入 您 的 信息 。 


422 填写 用 户 名 和 组 织 名 称 注册 


定义 安装 
单 击 下 面 列表 中 的 图 标 更 改 功能 的 安装 方式 


S-E z] Symantec pcAnywhere 
S-E] pcAnywhere 工具 
| 主机 管理 员 


主机 管理 员 代理 


te. HFE Windows Vista 验证 需求， 主机 管理 员 


功能 大 小 需求 
此 功能 需要 174KB 硬盘 空间 。 


图 423 安装 代理 管理 工具 


“下 一 步 ? 按 钮 。 
(7) 安装 pcAnywhere 的 主要 程序 ,完成 pcAnywhere 的 安装 。 
(8) 双击 桌面 上 的 图 标 Symantec pcAnywhere, 打 开 软 件 运行 界面 ,如 图 4.2.4 所 示 。 
(9) 单 击 “ 转 到 高 级 视图 ”。 界 面 左 侧 会 有 各 种 选择 项 ,如 图 4. 2.5 所 示 。 


实验 报告 要 求 

。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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查看 


转 到 高 级 视图 


424 运行 界面 


Rime E 


RH SRO SHE) HAH 


Q File Transfer TCP/IP 


上 远程 
四 


转 到 基本 视图 me — 


Moden com 远程 控制 me 
Network, Cable, DSL TCP/IP 运程 控制 Ke 
Remote Management TCP/IP 运程 管理 ta 
| TCP/IP 192.168.1.240 — 远程 控制 > 
| 
| 
a i J 


图 425 “pcAnyhere 高 级 视图 


4.2.2 配置 被 控 端 (hosts) 
实验 器 材 


pcAnywhere 软件 系统 ,1 套 。 
PC( Windows XP/Windows 7).1 #. 
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预习 要 求 


CD 做 好 实验 预习 ,复习 远程 控制 技术 的 有 关内 容 。 
(2) 复习 pcAnywhere 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,学 会 在 Windows 环境 下 安装 pcAnywhere 被 控 端 。 

实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 已 安装 Windows 操作 系统 。 
预备 知识 


(1) 远程 控制 原理 及 基本 协议 。 
(2) 远程 控制 技术 概念 及 原理 。 


实验 步 又 


通过 选择 主机 下 的 添加 功能 自 定义 配置 被 控 端 计算 机 。 

选择 软件 运行 界面 中 的 主机 后 , 单 击 “ 操 作 ” 面 板 中 的 “添加 ”, 进 入 被 控 端 的 连接 向 导 , 选 
择 “ 我 想 使 用 电线 调制 解 调 器 /DSL/LAN/ 拨 号 互联 网 ISP”, 单 击 “ 下 一 步 ” 按 钮 ,如 图 4. 2.6 
所 示 。 


ssum OD 
Osmane. EERE = 


您 想 为 该 连接 使 用 哪 种 连接 方法 ? 
C 我 想 使 用 电 纱 调制 解 调 器 /DSL/LNN/ 找 号 互联 网 ISP C) e 
c JURE THEBIS BEI INIS BURCH nS Asai 


x 要 了 解 关 于 不 同 连接 方法 的 更 多 信息 ， 请 单 击 “帮助 ' 
要 继续 ， 请 单 击 “ 下 一 步 '。 


«r—Eo[n—5o»] ma | 帮助 | 


图 426 添加 被 控 端 选项 


选择 连接 模式 ,选择 “等 待 有 人 呼叫 我 ,如 图 4. 2.7 所 示 。 
验证 类 型 选择 第 一 个 单 选 按钮 则 使 用 Windows 现 有 账户 ,选择 第 二 个 单 选 按钮 则 创建 
pcAnywhere 新 的 用 户 和 密码 ,如 图 4. 2. 8 Bras. 
在 此 过 程 中 ,需要 选择 账户 ,如 图 4. 2.9 所 示 。 
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€ Sea KEE 
C NFU S—eni SL 


远程 IP 地 址 : 


一 一 一 一 一 


要 继续 ， 请 单 击 TH o 


A | | 


427 连接 呼叫 选项 


ipa t NANS 


您 想 使 用 什么 验证 类 型 ? 


© 我 想 使 用 一 个 现 有 的 Windows WA W) o 
C 我 想 创建 一 个 用 户 名 和 密码 0) 。 


要 继续 ， 请 单 击 “ 下 一 步 。 


oma | omm | 


图 428 建立 账户 


* Symantec. Sm pchnyehere ERS CASES ICAL LTD 


您 想 让 远程 呼叫 者 使 用 哪个 本 地 帐户 @)? 


要 继续 ， 请 单 击 TE o 


«rE-5e[r—bo»] mx | s | 
图 429 选择 账户 
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单 击 “下 一 步 ?按钮 ,账户 创建 完成 。 人 允许 用 户 再 次 确认 连接 选择 ,并 选择 是 否 连接 完成 
后 等 待 来 自 远程 计算 机 的 连接 。 在 创建 新 主机 完 后 ,程序 会 提示 对 新 主机 进行 命名 ,例如 ， 


命名 为 student。 选 中 需要 配置 的 连接 项 目 , 右 击 , 在 快捷 菜单 中 选择 “属性 ”命令 ,更 改 属 
性 ,如 图 4. 2.10 所 示 。 


= anges M 00 ë Ww 
E] 国 | 舌 多 |c 
z 连接 信息 BE | 呼叫 者 | 安全 选项 | 加 密 “ | 会 议 | 注释 | 保护 项 目 | 


主机 启动 一 一 一 一 一 一 一 一 一 一 调制 解 调 器 连接 
Ol [ostart m 的 
F | M Tz 运行 最 小 化 C) BBR: fo zd 种 
[M — F 作为 服务 运行 O 
etwork, Cable, 
会 话 看 正常 结束 后 : 一 一 「 会 话 正常 结束 后 : 
stops ia ee 
C 等 待 任何 人 QD C 等 待 任何 人 CI) 
C 取消 主机 C) C 取消 主机 OO 
H 且 由 以 下 确保 安全 G): H 且 由 以 下 确保 安全 0): 
G RUBRO 他 EKAA E) 
C 重新 启动 主机 计算 机 M C 重新 启动 主机 计算 机 0) 
C 锁定 计算 机 了) C HEHE) 
一 三 使 用 目录 服务 0) 
ZEE 3x | 
三 多 个 监视 器 


选择 监控 1 - 


取消 ”| cmo | em 
图 4210 属性 配置 窗口 


属性 窗口 中 的 “连接 信息 ” 指 的 是 建立 连接 时 所 使 用 的 协议 。 一 般 默认 为 TCP/IP, 可 
以 根据 实际 需要 选择 合适 的 协议 ,本 实验 以 常见 的 TCP/IP 协议 为 例 , 如 图 4. 2.11 所 示 。 


| 连接 信息 | 设置 TTUTTT ] 会 议 | 注释 “| 保护 项 目 | 
DE ran 和 和 me 


设备 列表 W: 


详细 信息 QD. | 


连接 方法 
© FFARR Ww 


合用 CAPT 2.0 的 ISDH C 插 接 到 一 个 pcAnywhere Access Server 
详细 信息 四) | 


C 连接 到 另 一 和 计算 机 O: 
远程 IP 地 址 或 计算 机 名 称 色 ) 


图 4211 确定 连接 协议 
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远程 控制 中 ,被 控 端 只 有 建立 安全 机 制 ,才能 有 效 地 保护 系统 不 被 恶意 控制 所 破坏 。 
“设置 ?选项 卡 中 的 主要 选项 如 下 : 
* “pE Windows 一 起 启动 * 和 “运行 最 小 化 ” 指 的 是 被 控 端 配置 好 以 后 ,决定 是 否 下 次 
启动 计算 机 时 就 直接 启动 pcAnywhere, 并 且 让 pcAnywhere 最 小 化 。 
。“ 会 话 非 正常 结束 后 ” 指 的 是 在 连接 会 话 不 正常 的 情况 下 (比如 连接 突然 中 断 ) 是 放 
弃 连 接 还 是 等 待 下 一 次 连接 。 
。“ 且 由 以 下 确保 安全 ” 指 的 是 为 了 保护 本 机 安全 ,可 以 选择 锁定 用 户 、 不 允许 其 他 的 
控制 端 登录 或 重新 启动 计算 机 等 。 
呼叫 者 指 的 是 可 以 创建 连接 到 本 机 的 用 户 账号 及 密码 。 在 “呼叫 者 ”选项 卡 中 设置 允许 
哪些 用 户 能 够 进行 远程 控制 以 及 分 配 控制 权限 , 单 击 * 新 建 > 按 钮 ,弹出 设置 新 用 户 的 对 话 
框 ,设置 好 一 个 新 的 用 户 名 、 登 录 密码 以 及 相应 的 权限 , 单 击 “ 确 定 ” 按 钮 保存 ,如 图 4. 2. 12 
所 示 , 验 证 类 型 选择 pcAnywhere。 


y 
EI 设置 。 LIE IP MESE ME 
验证 类 型 : | 
[pcAnywhere z] 
TUER ©): 


Bx eE 


T^ ARHDAÆR ©) 次 要 呼叫 者 属性 (8) 


Les ] mš mmo) | 帮助 ”| 


E4212 呼叫 者 设置 


图 4. 2. 13 中 的 用 户 teacher 就 是 在 创建 连接 向 导 时 创建 的 用 户 , 如 果 有 需要 可 以 单 
击 洽 按 钮 进行 新 用 户 的 添加 。 同 样 可 以 双击 用 户 设 置 用 户 的 安全 设置 ,如 修改 密码 (如 
图 4. 2. 13 所 示 ) ,设置 用 户 特权 及 打开 必要 的 管理 密码 。 
“安全 ”选项 卡 用 于 设置 本 机 的 安全 策略 。 
。 连接 选项 : 连接 成 功 以 后 ,可 以 选择 是 否 清除 本 机 屏幕 上 的 显示 ;是 否 相 隔 确 定时 
间 确 认 一 次 连接 是 否 仍然 有 效 ( 提 示 确 认 连 接 )。 
。 登录 选项 : 可 以 限制 对 本 机 进行 登录 的 次 数 与 时 间 , 默 认 值 是 每 个 人 只 人 允许 登录 
3 次 ,每 一 次 登录 所 用 的 时 间 是 3 分 钟 。 
“保护 项 目 ? 选 项 卡 允 许 用 户 输入 密码 来 保护 当前 设置 的 被 控 端 选项 ,设置 密码 保护 后 ， 
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标识 mm | 安全 | 注释 | 保护 项 目 | 


BRR): teacher — —] 
mo Bx 7 
确认 密码 0) : Fe MEME 


图 421 修改 用 户 密码 


任何 人 试图 查看 或 更 改 该 被 控 端 的 选项 时 都 需要 输入 密码 来 确认 。 以 上 属性 都 配置 好 以 
后 , 单 击 “ 确 定 ” 按 钮 完成 被 控 端 设置 。 


右 击 被 控 端 图 标 , 在 快捷 菜单 中 选择 “运用 主机 ”命令 ,被 控 端 将 启动 并 在 系统 任务 栏 上 


显示 一 个 计算 机 形状 的 图 标 , 开 始 等 待 远程 控制 的 被 控 端 进行 连接 。 当 用 户 远 程 连接 时 ,图 
标 会 改变 颜色 。 
实验 报告 要 求 


。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


4.2.3 ”配置 主 控 端 (Remotes) 
实验 器 材 


pcAnywhere 软件 系统 ,1 E., 
PC(Windows XP/Windows 7).1 #. 


预习 要 求 


CD 做 好 实验 预习 ,复习 远程 控制 技术 的 有 关内 容 。 
(2) 45 2] pcAnywhere 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 

实验 任务 


过 本 实验 ,学 会 在 Windows 环境 下 安装 pcAnywhere 的 主 控 端 。 
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实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。PC 上 已 安装 Windows 操作 系统 。 
预备 知识 

(1) 远程 控制 原理 及 基本 协议 。 

(2) 远程 控制 技术 概念 及 原理 。 

Scu p 


设置 好 被 控 端 后 , 接 下 来 十 分 重要 的 工作 就 是 配置 主 控 端 计算 机 。 

CD 在 如 图 4.2.5 所 示 的 pcAnywhere 管理 器 窗口 中 单 击 “ 远 程 ”, 通 过 这 个 页 面 可 以 
完成 主 控 端 连接 项 目的 设置 。 单 击 下 面 的 “添加 ”, 在 向 导 中 输入 被 控 端 计算 机 的 IP 地 址 ， 
如 图 4.2.14 所 示 。 

LI 5 


ym jii semen mna. 


: 206.204.52. 71e 


您 要 连接 的 计算 机 的 IP 地 址 是 什么 CI)? 


192. 168. 1. 240 


XX ARSE RES RR oir 
要 继续 ,请 单 击 “ 下 一 步 。 


ws | mm | 


图 4214 指定 被 控 端 计算 机 


单 击 “ 下 一 步 ”按钮 完成 主 控 端 的 添加 ,程序 提示 对 名 称 进行 重 命 名 ,例如 student, 
(2) 选中 需要 配置 的 连接 项 目 , 右 击 , 在 快捷 菜单 中 选择 “属性 ”命令 弹出 配置 对 话 框 。 
该 对 话 框 中 共有 5 个 选项 卡 可 供 设置 。 
“连接 信息 ”选项 卡 的 设置 方式 和 内 容 与 被 控 端 的 设置 基本 相同 ,不 同 的 是 主 控 端 只 能 
够 选择 一 种 连接 方式 ,同时 在 选项 卡 上 还 可 以 设置 “启动 模式 ”, 如 其 中 的 “文件 传送 ” 单 选 按 
钮 ,选中 之 后 可 以 达到 与 被 控 端 连接 时 直接 进入 文件 传输 界面 ,而 不 进入 远程 操作 界面 的 效 
JR ,如 图 4.2. 15 所 示 。 
“设置 ?选项 卡 用 于 配置 远程 连接 选项 。 其 中 :“ 要 控制 的 网 络 主机 PC sk IP ehk” 
人 受 控制 的 远程 计算 机 的 主机 名 或 IP 地 址 ,如 图 4.2. 16 所 示 。 
。“ 要 控制 的 主机 PC 的 电话 号 码 ”: 如 果 远 程 计算 机 采用 Modem 拨号 呼叫 ,在 这 里 就 
要 填 人 远程 计算 机 的 电话 号 码 。 
。“ 登 录 信息 ”: 连接 后 自动 登录 到 被 控 端 , 添 人 完整 的 登录 信息 后 ,就 可 以 保存 登录 
到 远程 被 控 端 所 需 的 用 户 账号 与 密码 ,从 而 实现 自动 登录 。 
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{== cea [C\ProgramData\Symantec\pcAnywhere\Remotes 


z8 foeren 


Bre | sjan uation! me [am ema] 
LSA Modem x 5 ý- à m à E n 
go] Xe ERE as. 
BlRemote M: 设备 列表 四 
student ua : 
[E student | 详细 信息 0) 
启动 模式 
© 远程 控制 
C 远程 管理 吕 
C 文件 传送 加 
口 使 用 CAPI 2.0 的 ISDN 厂 通过 网 关 或 Access Server 连接 (6) 
详细 信息 D 
: Ce ma | cmo | wm | 


图 4215 连接 信息 设置 


| 连接 信息 | 设置 E5 ASRA 
图 控制 的 网 络 被 控 庙 PC 或 IP dht an: 192. 168. 1. 240 
© 使 用 目录 服务 6): 


SHIRTS TC 电话 号 码 


图 使 用 找 号 属性 和 电话 号 码 Q0: SEH QD)... 
区 号 @): ”电话 号 码 (0): 国家 代码 C): 
]- [ 中 国 (56) 司 


+) GEO). 


使 用 手动 输入 的 前 名 、 区 号 和 电话 号 码 0 : 
| 


登录 信息 

回 连 接 后 自动 登录 到 被 控 端 T) 
ORAL): [ 
Bee: [ 
I; TE [ 

ein = 

ERRA R): o Hj Sita D: 


EN NEIN "NBI. TON 


E4216 远程 控制 设置 


其 中 ,192. 168. 1. 240 是 被 控 端 的 IP 地 址 ,student 为 对 方 的 用 户 和 密码 。 

。 自动 化 任务 : 用 于 设置 使 用 该 连接 的 自动 化 任务 。 在 12. 5 的 新 版 本 中 弱化 了 这 个 
功能 。 主 要 是 将 远程 控制 过 程 中 的 操作 记录 下 来 ,在 需要 的 时 候 回放 查看 。 

。 安全 选项 : 用 于 设置 主 控 端 在 远程 控制 过 程 中 使 用 的 加 密级 别 , 默 认 是 不 加 密 的 。 
可 以 按 自己 的 需要 选择 使 用 对 称 密 钥 , 公 用 密 钥 或 pcAnywhere 加 密 方式 ,其 中 ， 
pcAnywhere 加 密 方式 将 前 面 的 两 种 加 密 技术 结合 在 一 起 ,具有 速度 和 安全 性 两 方 


面 的 优点 。 
。 保护 项 目 : 功能 与 被 控 端 的 设置 相同 。 
(3) 设置 完毕 后 , 右 击 主 控 端 ,在 快捷 菜单 中 选 始 远程 控制 ?命令 , 即 可 自动 连接 
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至 远程 主机 的 桌面 ,实现 安全 的 桌面 远程 操作 。 
作为 被 控 端 ,在 “主机 ”中 双击 新 建 主机 (student) 即 可 ,任务 栏 的 右 下 角 会 有 图 标 提示 。 
作为 主 控 端 ,选中 “远程 ”中 的 student, 单 击 左 侧 的 “启动 连接 ”, 或 者 双击 student, 出现 
如 图 4.2.17 所 示 的 界面 。 用 户 名 就 是 登录 名 teacher, 密 码 就 是 登录 密码 123456。 启 动 远 
程控 制 后 , pcAnywhere 就 开始 按照 设置 的 要 求 尝 试 连接 远 端 的 被 控 计 算 机 ,如 图 4. 2. 17 
所 示 。 


: = com verirem ve 
B 快速 部 署 和 连接 Cable, DSL TCP/IP 运程 控制 & 
主机 TCP/IP 远程 管理 无 > 
(39) 收藏 夫 TCP/IP 192.168.1.240 — 运程 控制 F> 


€ 历史 记录 
命令 队列 pcAnywhere 正在 等 待 - 
$9 pcAnywhere 工具 
ES 正在 连接 到 192. 168. 1.240 
T. 串口 标识 集合 


前 目录 
[新建 文件 夹 


正在 等 待 连接 


图 4217 远程 连接 显示 


控制 界面 如 图 4. 2. 18 所 示 ,连接 成 功 后 将 按 要 求 进入 远程 控制 界面 或 者 文件 传送 界 
面 , 可 以 在 远程 控制 界面 中 遥控 被 控 计 算 机 。 


IB Symantac peArywher — 
XHA Welt) ERT) fea) BDH 
í marsa) nsric] 


mne 
Bp Rie cerus 
gs 


na 


am 


4218 远程 控制 界面 


实验 报告 要 求 


。 实验 目的 。 
。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 


。 阐述 收获 与 体会 。 
4.3 扩展 实验 


实验 器 材 


pcAnywhere 软件 系统 ,1 套 。 
PC( Windows XP/Windows 7).1 £i. 


预习 要 求 


C1) 做 好 实验 预习 ,复习 远程 控制 技术 的 有 关内 容 。 
(2) 复习 pcAnywhere 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 
利用 pcAnywhere 软件 对 远程 计算 机 进行 控制 。 
实验 环境 


安装 Windows 系统 和 pcAnywhere 软件 (包含 被 控 端 和 主 控 端 ) 的 两 台 局 域 网 PC。 
pir 


1. 从 机 (被 控 端 ) 的 pcAnywhere 基本 配置 

CD 通信 双方 : 一 方 为 主 控 端 (主机 ) , 另 一 方 为 被 控 端 (从 机 ) 。 

(2) 启动 从 机 的 pcAnywhere', 在 工具 栏 单 击 * 被 控 端 ,再 右 击 工作 区 的 “NETWORK， 
CABLE,DSL? 选 项 ,在 快捷 菜单 中 选择 “属性 命令。 其 中 ,默认 协议 设 为 TCP/IP, 不 要 
更 改 。 

(3) 选择 “呼叫 者 ”, 在 “验证 类 型 > 下拉 列 表 中 选 pcAnywhere, 右 击 呼叫 者 列表 ,在 快捷 
菜单 中 选择 “新 建 " 命 令 。 

(4) 输入 新 建 用 户 的 登录 名 和 密码 (主机 呼叫 从 机 时 用 到 ), 只 有 拥有 此 登录 名 和 密码 
的 主机 才能 呼叫 并 控制 从 机 。 系 统 默认 的 权限 是 主机 可 完全 控制 。 

(5) 修改 被 控 端 的 用 户 登 录 密 码 ,修改 部 分 系统 环境 。 

2. 主机 ( 主 控 端 ) 的 pcAnywhere 基本 配置 

CD 启动 从 机 的 pcAnywhere, 在 工具 栏 单 击 “ 主 控 端 ”, 再 右 击 工作 区 的 “NETWORK， 
CABLE,DSL” 选 项 ,在 快捷 菜单 中 选择 “属性 ”命令 。 其 中 ,默认 协议 设 为 TCP/IP, 不 要 
更 改 。 

(2) 选择 “设置 ”, 在 “要 控制 的 网 络 主机 PC 或 IP 地 址 ”后 输入 从 机 的 IP 地 址 并 单 击 
“确定 ”按钮 。 

3. 远程 控制 的 实施 

(1) 运行 从 机 的 pcAnywhere, 3€ FE“ ge Fe sig" XU; "NETWORK. CABLE, DSL” , zs 
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从 机 现在 处 于 等 待 状态 ,随时 接受 主机 的 呼叫 。 

(2) 运行 主机 的 pcAnywhere, 2 FE“ EF ži” , Mik “NETWORK , CABLE, DSL” , FEJ? 
执行 结果 因 主 控 端的 设置 分 两 种 : 

* AEP ATL MBL IP 地 址 , 则 主 控 端 自动 扫描 所 有 “等 待 连接 ”的 从 机 。 

。 若 主 控 端 设置 了 从 机 的 IP 地 址 , 则 显示 登录 信息 ,只 要 用 户 名 和 密码 通过 从 机 的 验 

证 ,主机 就 可 顺利 取得 对 从 机 的 控制 权 , 同 时 在 主机 屏幕 中 显示 从 机 的 桌面 。 

4. 在 主机 上 对 从 机 进行 操纵 

(1) 单 击 工具 栏 中 的 “ 改 为 全 屏 显示 ”按钮 ,可 全 屏 显 示 从 机 的 桌面 而 隐藏 主机 的 “ 开 
始 ” 菜 单 和 任务 栏 。 

(2) 单 击 工具 栏 中 的 “文件 传送 ”按钮 ,左边 显示 的 是 主机 资源 ,右边 为 从 机 资源 ,利用 
鼠标 的 拖 放 功 能 可 实现 文件 的 双 机 互相 复制 。 

(3) 单 击 工具 栏 中 的 “查看 修改 联机 选项 按钮 ,设置 锁定 从 机 键盘 , 单 击 工具 栏 中 的 
“结束 远程 控制 对 话 ” 按 钮 。 

实验 报告 要 求 

。 实验 目的 。 
附 上 实验 过 程 的 截图 和 结果 截图 。 
阐述 遇 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 
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第 5 7 SSL VPN 实验 


5.1 SSL VPN 原理 


5.1.1 基本 概念 


随 着 计算 机 网 络 技术 和 信息 技术 的 发 展 与 应 用 , 越 来 越 多 的 用 户 希 望 能 在 非 正 式 办 公 
场所 也 能 享受 到 单位 内 部 网 络 的 权限 和 服务 ,虚拟 专用 网 (Virtual Private Network, VPN) 
是 目前 解决 这 一 问题 的 有 效 办 法 ,通过 私有 的 隧道 技术 在 公共 数据 网 络 上 仿真 一 条 点 到 点 
的 专线 技术 。 所 谓 虚拟 ,是 指 用 户 不 再 需要 拥有 实际 的 长 途 数据 线路 ,而 是 使 用 Internet 公 
众 数 据 网 络 的 长 途 数 据 线路 。 所 谓 专 用 网 络 , 是 指 用 户 可 以 为 自己 制定 一 个 符合 自己 需求 
的 网 络 。 利 用 VPN 技术 构建 安全 的 虚拟 私有 网 络 ,节省 了 租用 专线 的 费用 。 

VPN 的 技术 优势 主要 包括 : 四 跨 地 域 的 分 支 机 构 网 络 互联 互通 ,构建 远程 “局 域 网 ”， 
资源 共享 ; @ 降 低 网 络 通信 成 本 , 蔡 代 昂贵 专线 ; 加 信息 流 畅通 ,提高 效率 ,业务 系统 实时 
信息 共享 ; 由 随时 随地 移动 办 公 , 安 全 接 人 单位 网 络 。 

VPN 技术 提供 了 以 下 功能 : 四 用 户 验 证 : 验证 用 户 身份 并 严格 控制 只 有 授权 用 户 才能 
访问 VPN; @ 地 址 管理 : 能 够 为 用 户 分 配 专 用 网 络 上 的 地 址 并 确保 地 址 的 安全 性 ; @ 数 据 
加 密 : 数据 经 过 加 密 , 确 保 网 络 其 他 未 授权 用 户 无 法 读 取 该 信息 ; 由 密 钥 管 理 : 能 够 生成 并 
更 新 客户 端 和 服务 器 的 加 密 密 钥 ; OA PPI SS HE. 支持 公共 互联 网 络 上 普遍 使 用 的 基本 协 
议 ,包括 IP、IPX 等 。 

VPN 主要 包括 4 项 技术 : OWI FLA (Tunneling): 隧道 是 在 公 网 上 传递 私有 数据 的 
一 种 方式 ,也 是 数据 包 在 网 络 中 传输 经 过 的 逻辑 路 径 ; @ 加 解密 技术 (Encryption &. 
Decryption) : 保证 数据 传输 过 程 中 的 安全 ; @ 密 钥 管 理 技 术 (Key Management); 四 使 用 者 
与 设备 身份 认证 技术 (Authentication): 保证 VPN 通信 方 的 身份 确认 及 合法 。 

目前 ,常用 的 VPN 技术 主要 有 3 种 : IPSECCInternet Protocol Security)、SSL (Secure 
Socket Layer) fll MPLS(Multi-Protocol Label Switch, 由 电信 运营 商 提供 ) 。 


5.1.2 SSL VPN 


将 安全 套 接 层 协议 (Secure Socket Layer. SSL) fll VPN 组 合 , 称 为 基于 SSL 的 VPN. 
简称 SSL VPN. SSL VPN 作为 一 种 价格 便宜 、 安 装 方便 ,同时 具有 完善 的 远程 访问 功能 的 
安全 方案 ,在 保险 业 、 银 行 、 金 融 \ 证 券 行业 和 电信 行业 的 无 线 网 络 等 方面 的 应 用 越 来 越 广 
泛 。 安 全 性 是 SSL VPN 一 个 重要 的 特性 , 它 也 是 设计 和 维护 的 重点 内 容 。 

SSL 协议 是 网 景 公司 设计 的 基于 Web 应 用 的 安全 协议 , 它 指定 了 在 应 用 程序 协议 (如 
HTTP, Telnet 和 FTP 等 ) 和 TCP/IP 协议 之 间 进 行 数据 交换 的 安全 机 制 ,为 TCP / IP 3€ 
接 提供 数据 加 密 、 服 务 器 认证 以 及 可 选 的 客户 机 认证 。SSL 协议 由 SSL 记录 协议 .握手 协 
TL 、 密 钥 更 改 协议 和 告警 协议 组 成 ,它们 共同 为 应 用 访问 连接 提供 认证 ,加密 和 防 算 改 等 功 
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能 。 其 工作 流程 如 图 5.1. 1 所 示 。 
步骤 1 客户 端 请 求 安全 信息 
FE 


PHA 服务 车 请 求 多 个 会 话 


IUD 客户 端 发 送 安全 参数 
| 
LJ < 步骤 4 IRS eS o 
J 


TREES "A Pata ROS qe OS SE RO 
牛 成 会 
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图 511 SSL VPN 工作 流程 


一 般 的 实现 方式 是 在 企业 的 防火 墙 后 面 放置 一 个 SSL 代理 服务 器 , SSL 代理 服务 器 将 
提供 一 个 远程 用 户 与 各 种 不 同 的 应 用 服务 器 之 间 的 连接 ,主要 有 握手 协议 .记录 协议 和 警告 
协议 的 通信 。SSL VPN 的 通信 过 程 主要 集中 在 握手 协议 上 ,过 程 如 下 : 

(1) SSL 客户 机 连接 到 SSL 服务 器 ,并 要 求 服务 器 验证 身份 。 

(2) 服务 器 发 送 数字 证 书证 明 自 身 的 身份 。 这 个 交换 包括 整个 证 书 链 , 直 到 某 个 证 书 
颁发 机 构 (CA) ,通过 检查 有 效 日 期 并 确认 证 书包 含 可 信任 CA 的 数字 签名 来 验证 证 书 的 有 
效 性 。 

(3) 服务 器 发 出 一 个 请 求 , 对 客户 端的 证 书 进行 验证 。 

(4) 双方 协商 加 密 算法 和 用 于 完整 性 检查 的 Hash 函数 ,通常 由 客户 端 提 供 它 所 支持 
的 所 有 算法 列表 ,然后 由 服务 器 选择 其 中 最 健壮 的 加 密 算法 。 

(5) 客户 机 和 服务 器 通过 下 列 步骤 生成 会 话 密 钥 : 

CD 客户 机 生成 一 个 随机 数 , 并 使 用 服务 器 的 公 钥 对 它 加 密 , 再 送 到 服务 器 。 

@ 服务 器 用 客户 机 的 公 钥 加 密 , 发 送 至 客户 机 以 表示 响应 。 

© 使 用 Hash 函数 从 随机 数据 中 生成 密 钥 。 

SSL VPN 的 主要 技术 特点 如 下 : 
客户 端 支持 维护 简单 。 
提供 增强 的 远程 安全 接 人 功能 。 
提供 更 细 粒 度 的 访问 控制 。 

能 够 穿越 防火 墙 等 设备 。 
能 够 较 好 地 抵御 外 部 病毒 攻击 。 
网 络 部 署 方便 灵活 。 

SSL VPN 的 4 种 工作 模式 为 : 代理 : HTTP proxy; @ 应 用 转换 : 把 C/S 应 用 客户 
端 转化 成 Web 方式 ; @ 端 口 转发 : 对 任意 的 C/S 应 用 实现 SSL 保护 ; 四 网 络 连接 CNC 
mode); 用 SSL 实现 网 络 层 的 连接 。 


st i 


5.2 VPN 配置 实验 


实验 器 材 
PC( Windows XP/Windows 7).1 £i. 
预习 要 求 


(1) 做 好 实验 预习 ,复习 VPN 及 隧道 技术 的 有 关内 容 。 
(2) 复习 Windows 操作 系统 的 网 络 设置 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,掌握 VPN 服务 器 搭建 技术 。 
实验 环境 

装 有 Windows XP 操作 系统 的 PC。 
预备 知识 


(1) VPN 技术 及 原理 。 
(2) 隧道 技术 。 


实验 步 又 


1. 基础 环境 配置 

停止 Windows XP 系统 自 带 的 防火 墙 系统 (Windows Firewall/Internet Connection 
Sharing(ICS)) ,需要 允许 1723 端口 通过 。 

必须 开启 的 服务 包括 远程 注册 表 服 务 (Remote Registry) , Server 服务 (Server) 和 路 由 
及 远程 访问 服务 (Routing and Remote Access) ,如 图 5.2.1 所 示 。 

2. 启动 系统 服务 

在 默认 情况 下 所 需 的 服务 中 ,远程 注册 表 服 务 (Remote Registry) 和 Server 服务 
(Server) 是 自动 启动 的 ,只 有 路 由 和 远程 访问 服务 (Routing and Remote Access) 默 认 禁 止 。 
右 击 桌面 上 “我 的 电脑 ”, 在 快捷 菜单 中 选择 “管理 ”, 进 入 “计算 机 管理 ”后 , 单 击 左 侧 的 “服务 
和 应 用 程序 ”>“ 服 务 ”, 在 右 侧 找 到 “Routing and Remote Access”, 右 击 , 在 快捷 菜单 中 选择 
“属性 ”命令 ,如 图 5. 2. 1 所 示 , 更 改 “ 启 动 类 型 "为 “自动 ”, 然 后 单 击 “ 确 定 ” 按 钮 。 所 有 设置 
完成 后 , 右 击 “Routing and Remote Access”, 在 快捷 菜单 中 选择 “启动 ”命令 。 

右 击 “网 上 邻居 ”, 在 快捷 菜单 中 选择 “属性 ”命令 进入 “网 络 连 接 ” 窗 口 ,会 发 现 增加 了 一 
个 “传人 的 连接 ”, 如 图 5.2.2 所 示 。 

右 击 “传人 的 连接 ”, 在 快捷 菜单 中 选择 “属性 ”命令 ,在 “常规 ”选项 卡 中 ,选中 “允许 他 人 
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名 称 / 描述 状态 “| 启动 类 型 BRA 


SüaOffice Source Engine 保存 用 . 手动 本 地 系统 
ByPerformance Logs and Alerts 收集 本 ... 手动 网 络 服务 
ByPlug and Play 使 计算 .. 已 启动 自动 本 地 系统 
SüaPortable Media Serial Number Service Retrie... 手动 本 地 系统 
Print Spooler 将 文件 .… Ee) 本 地 系统 
Süa Protected Storage 提供 对 .. 已 启动 ”自动 本 地 系统 
SüaQoS RSVP 为 依赖 . 手动 本 地 系统 
ByRemote Access Auto Connection Manager Kitt... 手动 本 地 系统 
ByRemote Access Connection Manager ORR... 已 启动 手动 本 地 系统 
ByRemote Desktop Help Session Manager SES 手动 本 地 系统 
SByRemote Procedure Call (RPC) 提供 终 .. 已 启动 ”自动 网 络 服务 
ByRemote Procedure Call (RPC) Locator SER. 手动 网 络 服务 
Bykemote Registry Lo 已 禁用 本 地 服务 
ByRemovable URS 已 禁用 UE 


BySecondary pem Sm EEL 
S,Security Accounts 存储 本 .. 已 启动 Bab 本 地 系统 
BySecurity Center BAR... 已 禁用 本 地 系统 
Wy Server 支持 此 .. 已 启动 自动 本 地 系统 
ServiceLayer E 2 手动 本 地 系统 
+ pies De 所 有 任务 OO > an - = TA 
mart Car DE ee tA B — 

ve Discovery Ser BIH QD Hab... 已 启动 手动 本 地 服务 

System Event Noti f me 跟踪 系 .. 已 启动 ”自动 本 地 系统 
Gysysten Restore SM KTR 已 禁用 本 地 系统 
ByTask Scheduler 帮助 00 RAP... 已 禁用 本 地 系统 
Sy TCP/IP NetBIOS Helper — — — — — 允许 对 ... 手动 本 地 服务 
Sia Telephony .. 已 启动 手动 本 地 系统 
Telnet 已 禁用 本 地 系统 


Terminal Services 已 禁用 本 地 系统 


521 系统 服务 界面 
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图 522 传 入 连接 界面 


通过 internet 或 其 他 网 络 以 “隧道 操作 方式 建立 到 我 的 计算 机 的 专用 连接 (W)” 复 选 框 ,如 
图 5. 2. 3 所 示 。 

选择 “用 户 ” 选 项 卡 , 单 击 下 面 的 “新 建 (N)... ”按钮 建立 一 个 用 户 名 和 密码 ,也 可 以 选中 
已 有 的 用 户 名 和 密码 。 在 “网 络 ” 选 项 卡 中 , 单 击 “ 安 装 (D...” 一 “协议 ”, 在 “选择 网 络 协议 ” 


“33 


对 话 框 中 选择 包含 “IPX 协议 ”后 , 单 击 “确定 ”按钮 ,如 图 5. 2. 4 所 示 。 


E HARER 属性 

常规 | 用 户 | 网 络 | 

入 的 连接 

在 这 些 设备 上 区 许 传人 的 连接 。 


RE): 
没有 安装 能 接 电话 的 硬件 。 


单 击 您 相安 装 的 网 络 通 讯 协议 ， 然 后 单 击 “ 确 定 ”。 如 果 您 有 这 个 组 
x — wen “umase e 


虚拟 专用 网 


连接 后 在 通知 区 域 显示 图 标 6) 


图 523 VPN 连接 设置 界面 图 524 协议 安装 界面 


如 果 VPN 服务 器 所 在 的 网 络 没 有 开启 自动 获取 IP 地 址 (DHCP), 则 需要 配置 传人 连 
接 的 IP 范围 ,双击 “Internet 协议 (TCP/IP)”, 在 弹出 的 对 话 框 中 选择 “指定 TCP/IP 地 
址 ”, 并 填写 与 VPN 服务 器 同一 网 段 的 空闲 地 址 ,推荐 为 双 数 ,如 图 5.2.5 所 示 。 

传 入 的 TCP/IP 尾 性 AE 


三 网 络 访问 
[v 允许 呼叫 方 访问 我 的 局 域 网 (C) 
TCP/IP 地 址 指派 
C 用 DHCP 自动 指派 TCP/IP Hitt (A) 
@ 指定 TCP/IP Hott) 


Aq: 192. 168. 1 . 100 
3w: 192.168. 1 . 200 
Sit: for 
D 允许 呼叫 的 计算 机 指定 其 IF 地 址 w) 
| 


525 IP 地 址 范围 设置 界面 


3. 客户 端 ( 接 入 端 ) 的 相关 配置 

打开 “网 络 连 接 ”, 单 击 左 侧 “ 网 络 任务 ”下 的 “创建 一 个 新 的 连接 ”。 在 打开 的 “新 建 连接 
向 导 ” 对 话 框 中 单 击 “ 下 一 步 ” 按 钮 ,“ 网 络 连接 类 型 ”选择 “连接 到 我 的 工作 场所 的 网 络 ”; 单 
击 “ 下 一 步 ” 按 钮 ,选择 “虚拟 专用 网 络 连 接 ”; 单 击 “ 下 一 步 ” 按 钮 ,填写 “公司 名 ”, 可 以 留 空 不 
写 ( 留 空 则 为 虚拟 专用 网 络 ); 单 击 “ 下 一 步 ”按钮 ,填写 VPN 服务 器 的 IP 地 址 或 域名 ,如 
图 5. 2. 6 所 示 ; 单 击 “ 下 一 步 ” 按 钮 ,在 出 现 的 完成 页 面 中 单 击 “ 完 成 ”按钮 。 
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| vm BS 


E 
VEN 服务 器 的 名 称 或 地 址 是 什么 ? 


= | 


图 526 VFN 服务器 的 IP 地 址 设置 界面 

4. VPN 使 用 设置 

打开 刚刚 创建 好 的 连接 ,输入 允许 接 入 的 用 户 名 和 密码 , 单 击 “ 连 接 ” 按 钮 ,客户 机 成 功 
BRA VPN 服务 器 。 通 过 查看 连接 属性 ,可 以 看 到 时 间 和 流量 等 信息 ,如 图 5. 2.7 所 示 。 


使 用 Windows XP 系统 作 VPN 服务 器 只 能 同时 允许 一 个 用 户 接 入 ,如 果 有 其 他 用 户 
接 人 会 出 现 如 图 5. 2. 8 所 示 的 错误 提示 。 


n MPPE 6 
压缩 GL) 
接 帧 
169. 254. 18. 198 


如 果 您 继续 收 到 错误 信息 ,您 可 以 启用 日 志 记录 来 做 分 析 。 


加 启用 日 志 记 录 @&) 
关于 日 志 记 录 选 项 ， 请 看 诊断 


Se aiodeee RENKIN: o n Un RA 


aa su] 


图 527 VFN 连 接 属性 图 528 连接 错误 提示 


° 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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为 什么 要 添加 NWLink IPX 协议 ? 


5.3 SSL VPN 配置 实验 


实验 器 材 


OpenVPN 软件 系统 ,1 套 。 
PC( Windows XP/Windows 7).1 £i. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 SSL VPN 的 有 关内 容 。 
(2) 复习 OpenVPN 的 使 用 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,掌握 VPN 服务 器 搭建 技术 。 
实验 环境 

装 有 Windows 7 操作 系统 的 PC。 

预备 知识 


(1) VPN 技术 及 原理 。 
(2) 隧道 技术 。 


实验 步 又 


1. 服务 器 端 配 置 
需要 注意 的 是 ,在 客户 端 和 服务 器 端 需要 使 用 相同 版 本 的 OpenVPN, 本 实验 使 用 的 


软件 版 本 是 openvpn-2. 1. 4。 在 Windows 7 操作 系统 下 采取 默认 安装 ,直至 完成 即 可 ,如 
图 5. 3. 1 Bras ,安装 目录 为 C:\Program Files\OpenVPN. 


具体 配置 工作 如 下 : 
(1) 修改 easy-rsa 目录 下 的 vars. bat. sample 内 容 , 用 写字 板 打开 ,并 将 其 改名 为 vars. 


。 原 内 容 如 下 : 


set KEY COUNTRY=US 
set KEY PROVINCE= CA 

set KEY CITY- SanFrancisco 

set KEY ORG- OperVEN 

set KEY FMA = maile host.damain 
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@ OpenVPN 2.1.4 Setup GE S | 
Installation Complet 
(DPENVPN En 


Completed 
= 


WsersWweizhenghuiWppDataRoamingWiaosoftWindows\WStart ... 4 
Users\weizhenghui\Desktop\OpenVPN GULI.Ink 
\Users\weizhenghuiVppData\Roaming\Migosoft\Windows\Start ... 
\Users \weizhenghui\AppData Roaming Microsoft Windows VStart ... 
Users weizhenghui AppData Roaming MicrosoftlWindows start ... 
sers \weizhenghui AppData Roaming MicrosoftWindows Vstart ... 
Users weizhenghui\AppData Roaming Mic osoft\Windows\Start ... 


Create shortcut: 
Create shortcut: 
Create shortcut: 
Create shortcut: 
Create shortcut: 
Create shortcut: 
Create shortcut: 


Create shortcut: C: Userslweizhenghui AppData Roaming Mic osoft\Windows\Start .. 
Created uninstaller: C:\Program Files\OpenVPN\Uninstall.exe 
Completed 

Nullsoft Install n v2.44 


ETB-—-—— &À-mB 


— 
图 531 QpenrVPN 安 装 界面 
根据 自身 情况 修改 ,也 可 以 不 修改 。 可 以 改 为 如 下 内 容 : 
set HOMEF C:\Program Files\OPENVEN\easy- rsa // 新 增 
set KEY COUNTRY- CN // 人 国家 ) 
set KEY PROVINCE- HLJ // 0101) 
set KEY CITY- hrbeu // ORTH ) 
set KEY ORG= OpenVPN // ÉR) 
set KEY EMAIL-mailé host.damain // UTE HEHE: ) 


(2) 把 C:\Program Files\OpenVPN\easy-rsa 中 的 openssl. cnf. sample 改 为 openssl. 
cnf, TE DOS WHE Pie 13 EA A 3€ C:\Program Files\OpenVPN\easy-rsa, 4j 5! #7 A vars 
和 clean-all. bat 命令 。 


(3) 生成 根 CA ,输入 命令 build-ca. bat, 如 图 5. 3. 2 所 示 。 


a>build-ca.bat 
te - done 
RSA private key 
g new pr 
Mou are about to be aske enter orma at v incorporated 
sd Name or a DN. 


s 2 will be a 
^, the field will be 


Country Name letter code? [CN]: m 


图 532 buld-caba 运行 界面 


输入 系统 环境 信息 和 服务 器 基本 信息 ,包括 组 织 结构 名 称 、 国 家 、 服 务 器 名 称 和 使 用 者 
信息 等 内 容 , 如 图 5. 3. 3 所 示 。 
输入 build-dh. bat ,完成 基本 设置 ,如 图 5. 3.4 所 示 。 
(4) 生成 服务 端 证 书 、 客 户 端 证 书 和 TA 证 书 。 服 务 端 证 书 和 TA 证 书 必 须 生 成 在 服 


“ os 


Country Name (2 letter 
State or Province Name IHLJ1:HLJ 
Locality Name Ceg, city? iangl:HeiLongJiang 
ation Name (eg, comp [OpenUPN 
Ce section) [ 


Name “eg, city? [H ongJian 


anization Name «eg, pany> 
anizational Unit Name <eg. group 
Common Name eg, your name or ver's hostname? []:wyz group 
Email Address [mail@host .domain]:mail@host .domain 


\Progran File enUPN*easy-rsa»? 


533 服务 器 基本 信息 设置 界 


E} 


C:\Program Files y-rsa»build-dh.bat 
ading se i random state done 
rating DH parameter 10 bit long safe prime, generator 
to take a long time 


^R] 


534 buld-dhbat 运行 界面 


务 端 计算 机 上 。 客 户 端 证 书 和 TA ip Zi E a HE EP YET PL E. T AE NG AT dn Pi 
使 用 的 证 书 。 输 入 命令 RE bat server. 4i K 


5.3.5 所 示 。 


Program Fi pe nU PI —rsa>build—key-se 
Loading 3 into random state — done 
bit RSA private k 


ate key to ’keys\server.key’ 


are about to be asked to enter information that will be incorporated 
your certificate request. 
you are about to enter is what called a Distinguished Name or a DN. 
re are quite a few f s hu you can leave some blank 
me fields there will be a default vz 
F you enter '.', the field vill be left blan 


Country Name 42 letter code) [CN]: 


535 buld-key-server.bat iz 15 71 TR 


输入 必要 的 息 ,这 些 信息 都 是 之 前 定义 好 的 ,密码 处 留 空 ,以 后 可 以 进行 设置 


An optional company name [ ]: wyzz. 如 图 5.3.6 所 示 。 最 后 出 现 提示 信息 : Hie the 


certificate? [ y/n ].ffj A y. 
生成 客户 端 证 书 。 输 入 命令 C:\Program Files\ OpenVPN \ easy-rsa > build-key. bat 
client. WAI 5. 3. 7 所 示 。 
如 前 所 述 ,输入 必要 的 注册 信息 。 密 码 同 样 留 空 不 写 ,输入 wyzz, 最 后 出 现 提示 信息 : 
sign the certificate? [ y/n ].fij A y. 
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[us 


the follow 
ent with your 


Please enter 
to b 
A challenge password [1]: 
fin optional company name 

on fron 


cer 


int 


Signature o 
The Subject 


icountryName 
istateOrPro 
lit yName 
tionName 


inceName 
tionalUnit 


to be ce 


writing new private key 
are about to 
if icate 
"e about to 
few 
field 
you enter ’.’, the 


ome there wil 


fie 


untry Name (2 letter 


至 此 完成 ta. key Xc fF AY H 
TAHIR CA、 服 务 器 、 客 / 


—genkey --secret keys/ta. key, 9j 
绪 后 ,设置 配置 文件 。 利 用 build- 


同上 。 
(5) 服务 器 端 配 时 
下 ,Server. ovpn 的 内 容 如 下 : 


port 1194 

;proto tcp 

proto udp 

;dev tap 

dev tun 

;dev- node MyTap 

Ca ca.crt 

cert server.crt 

key server.key 

dh dh1024.pem 

// 服 务 端 要 用 的 证 书 
Server 10.8.0.0 255.255.255.0 
// 服 务 网 关 的 虚拟 网 段 


code> 


ttribut 


tified until Dec 
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lient .key’ 


information that will be incorporated 


called a Distinguished Name or a DN. 


but you can e blank 
1 be fault 


ld will be left 


valu 


blank. 


a de 


[CN]: 


s 
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E 


k. Bl C:\Program Files \ Open VPN\ easy-rsa 


DT 


"gg 


4 


client2 可 以 继续 配置 第 二 个 VPN 客 / 


//1194 端 口 进行 通信 


//This file should be kept secret 


> openvpn 
所 需 证 书 和 密 钥 文件 准备 就 
端 密 钥 , 配 轩 


服务 器 的 配置 文件 在 C:\ProgramFiles\OpenVPN\sample-config 


将 生成 的 ca. crt、dh1024. pem, server. crt, server. key 和 配置 文件 server. ovpn 复制 到 
C:\Program Files\OpenVPN\config 目录 下 ,这 4 个 文件 是 VPN 服务 端 运行 所 必需 的 
文件 。 

(6) 客户 端 文件 配置 。 客 户 端 client. ovpn 的 配置 文件 在 C:\Program Files\ Open 
VPN\sample-config 下 ,内 容 如 下 : 


remte my- server- 1 1194 
;remte my- server- 2 1194 


更 改 如 下 : 


remote 192.168.1.233 1194 
;remote 192.168.1.233 1194 


客户 端 所 需 证 书 及 其 密 钥 如 下 : 


# file can be used for all 

ca ca.crt 

cert client.crt 

key client.key 

将 生成 的 ca. crt, client. crt, client. key, ta. key 和 配置 文件 client. ovpn 复制 到 C:\ 
Program Files\OpenVPN\ config 目录 下 ,这 4 个 文件 是 VPN 客户 端 运 行 所 必需 的 文件 。 
配置 结束 ,在 右 下 角 会 有 图 标 显 示 ,红色 为 未 连接 ,黄色 为 等 待 连接 ,绿色 为 连接 成 功 。 

2. 客户 端 连接 设置 

CD 服务 器 端 配置 。 选 择 Windows 系统 的 “控制 面板 >“ 网络 ”和 Internet 连接 ,如 
图 5.3. 8 所 示 。 


WEIZHENGHU... 


(此 计算 机 ) 


s5387 BEA. TUS. ES. ITa VPN 连接 ; 或 设置 路 由 器 
Internet 选项 或 访问 点 。 
Windows BIE 
LE 
c 连接 到 已 重新 连接 到 无 线 、 有 线 、 拨 号 或 VPN RIES. 


图 538 系统 网 络 连接 界面 
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HE Alt 键 , 会 出 现 " 文 件 ? 等 菜单 栏 ,选择 菜单 "文件 ”新建 传人 连接 ”命令 ,添加 用 户 ， 
输入 用 户 名 和 密码 等 信息 ,如 图 5. 3. 9 所 示 。 


图 539 添加 用 户 界面 


单 击 “ 下 一 步 ”按钮 ,选择 “通过 Internet”, 单 击 “ 允 许 访问 ”。 创 建 连接 ,为 客户 端 授 权 
即 可 。 设 置 结 束 后 ,在 网 络 连接 中 会 出 现 新 接 人 的 连接 图 标 。 

(2) 客户 端 配置 如 下 : 选择 “控制 面板 ”>“ 网 络 和 Internet 连接 ”, 在 网 络 连接 界面 中 设 
置 新 的 连接 或 网 络 。 选 择 “ 连 接 到 工作 区 ”。 在 “你 想 如 何 连 接 ?” 的 选项 中 ,选择 首 项 “是 我 
的 Internet 连接 (VPN)”。 

在 “Internet 地 址 ”中 填 入 服务 器 端 IP 地 址 ,如 图 5. 3. 10 所 示 。 填 入 授权 的 用 户 名 和 
密码 , 即 先期 创建 的 账号 和 密码 。 


键入 要 连接 的 Internet 地 址 


网 络 管理 员 可 提供 此 地 址 。 


Internet 地 址 []): | FRBEContoso.com 或 157.54.0.1、 3ffe:1234:1111] 


目标 名 称 (E): VPN 连接 


使 用 智能 卡 (S) 

人 允许 其 他 人 使 用 此 连接 (A) 

这 个 选项 允许 可 以 访问 这 台 计 算 机 的 人 使 用 此 连接 . 
现在 不 连接 ; 仅 进 行 设置 以 便 稍 后 连接 (D) 


n 


图 5310 客户 端 配置 界面 
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。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


5.4 CA 与 SSL 配置 实验 


实验 器 材 

PCCWindows 2000 Server) ,1 台 。 

PCCWindows 2000/Windows XP),1 &. 

预习 要 求 

(1) 做 好 实验 预习 ,复习 CA 与 SSL 的 基本 原理 。 

(2) 复习 PKI 和 数字 证 书 的 知识 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 

实验 任务 

通过 实验 深入 理解 PKI 系统 和 SSL 的 工作 原理 ,熟练 掌握 Windows 2000 Server 环境 
下 CA 系统 和 SSL 连接 的 配置 和 使 用 方法 。 

实验 环境 


一 台 安 装 了 Windows 2000 Server 操作 系统 的 计算 机 ,以 及 与 其 联网 的 一 台 安 装 了 
Windows 2000/XP 的 计算 机 。 


预备 知识 

(1) PKI 基础 。 
(2) 数字 证 书 。 
(3) CA 系统 。 
(4) SSL 原理 。 


实验 步骤 
1. Windows 环境 下 独立 根 CA 的 安装 和 使 用 
1) 独立 根 CA 的 安装 


(1) 单 击 “ 开 始 ” 按 钮 ,选择 “设置 “控制 面板 ”>“ 添 加 和 删除 程序 ”, 在 弹出 的 窗口 中 
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选择 “添加 和 删除 Windows 组 件 ”。 注 意 , 安 装 的 过 程 中 可 能 需要 系统 安装 盘 。 在 弹出 的 窗 
口中 选择 “证 书 服务 ”, 如 图 5.4. 1 所 示 , 单 击 “ 下 一 步 ” 按 钮 开始 安装 。 


Yindows 钥 件 
可 以 添加 或 删除 Windows 2000 的 组 件 。 


图 541 选择 要 安装 的 Wndows 组 件 


(2) 在 弹出 的 配置 窗口 中 选择 “独立 根 CA”, 并 单 击 “ 下 一 步 ” 按 钮 ,如 图 5. 4. 2 所 示 。 
独立 根 CA 与 企业 根 CA 的 区 别 见 “ 预 备 知识 ”中 有 关 CA 系统 的 内 容 。 


图 542 选择 证 书 颁发 机 构 类 型 


按 图 5.4. 3 所 示 依 次 添 入 CA 的 名 称 、 单 位 、 部 门 .城市 .电子 邮件 .CA 描述 和 有 效 期 
限 , 单 击 “ 下 一 步 ” 按 钮 。 

在 弹出 的 图 5. 4. 4 窗口 中 填 和 人 数据 的 存放 位 置 , 单 击 “ 下 一 步 ” 按 钮 。 

这 样 会 停止 本 机 在 Internet 上 运行 的 信息 服务 , 即 完成 了 证 书 安装 。 证 书 安装 后 ， 
Internet 上 运行 的 信息 服务 会 自动 开启 。 

(3) 单 击 “开始 ” ,选择 “程序 ”> 管理 工具 ”, 此 时 可 在 该 菜单 中 找到 证 书 颁发 机 构 ,说 明 
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[E: WINNT \System32\CertLog 


BIAGIO 


544 数据 存储 位 置 


CA 的 安装 已 经 完成 ,如 图 5. 4.5 所 示 。 

2) 通过 Web 页 面 申请 证 书 

CD. 在 局 域 网 中 另外 一 台 计 算 机 (注意 ,这 里 并 不 一 定 要 在 另外 的 计算 机 上 进行 ,在 同 
一 台 计 算 机 亦 可 ,实验 中 使 用 两 台 计 算 机 是 为 了 便于 大 家 理解 证 书 的 申请 和 发 放 过 程 ) 中 打 
JF IE, 在 地 址 栏 中 输入 http:// 根 CA 的 IP/certsrv;,; 其 中 的 IP 指 的 是 建立 根 CA 的 服务 器 
IP 地 址 。 出 现 如 图 5. 4.6 所 示 的 页 面 ,选中 “申请 证 书 ”, 并 单 击 “ 下 一 步 ” 按 钮 ,从 CA 申请 
证 书 。 

(2) 在 弹出 的 如 图 5.4.7 所 示 的 页 面 中 选中 “用 户 证 书 申请 ”中 的 “Web 浏览 器 证 书 ”， 
即 该 证 书 用 于 获得 基于 SSL 协议 的 Web 页 面 的 访问 权限 。 

(3) 在 弹出 的 窗口 中 填写 用 户 的 身份 信息 ,完成 后 单 击 “ 提 交 ” 按 钮 。 在 这 种 情况 下 ,IE 
浏览 器 采用 默认 的 加 密 算法 生成 公私 钥 对 , 私 钥 保 存在 本 地 计算 机 中 , 公 钥 和 用 户 身份 信息 
按照 标准 的 格式 发 给 CA 服务 器 ,然后 出 现 如 图 5. 4. 8 所 示 的 提示 窗口 。 
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< Active Directory 域 和 信任 关系 
> Ed. Active Directory 站 点 和 服务 


ë 


u 
回收 站 — 中华 神 捕 ( 简 
体 中 文 免 ， 


A 中 华 神 捕 (简体 中 文 免费 版) 
Sil adobeReader7.0 


BH) 


eRBE-2-Qad|ass grax gue 9a ad- AA 


Microsoft 证 书 服务 -- bupt 


欢迎 


您 使 用 此 Web 站 点 为 您 的 Web 浏览 器 ， 电 子 邮件 客户 端 ， 或 其 它 安全 程序 申请 


ER. 一旦 您 获得 一 个 证 书 ， 您 将 能 够 安全 地 向 Web 上 的 其 他 人 标识 您 


己 ， 为 电子 邮件 签名 ， 加 密 电 子 邮件 ， 以 及 其 它 ， 基 于 您 申请 的 证 书 类 型 。 


选择 一 个 任务 : 
cH CA 证 书 或 证 书 吊销 列表 
e 申请 证 书 


c 检 查 挂 起 的 证 书 


VAS 


图 546 证 书 服务 页 面 
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A Microsoft 证 书 服务 - Microsoft Internet Explorer EAE] 
XD REO EEV KEA TaD HAW 


= 
HRE- >- OD d| Qe uemx Gee G/B 30- 4A 


HAEDO) [Æ hetp:j/202.112. 108.203/certsrv/certrqus.asp ] exa | 链接 > 


Microsoft 证 书 服务 -- 
选择 申请 类 型 
请 选择 您 要 进行 的 申请 类 型 : 
c 用 户 证 书 申请 : 

"ES 


bupt shi 


F-# > 


H 
Eee 


图 547 证 书 申请 类 型 


2$ Microsoft 证 书 服务 - Microsoft Internet Explorer 


[xt p BEY KAW TAD Who) ] 
| eme- >- OAA AL gem Gar |B aa- H 


[HEO [Æ] hetp://59.64, 153, 126/certsrv/certrqbl.asp?type=0 了 | esu = » 


Nicrosoft 证 书 服务 


Web 浏览 器 证 书 - 标识 信息 
请 输入 将 在 您 的 证 书 中 出 现 的 标识 信息 : 


名 称 : [web cert 


ER 
Am: [puer 此 网 站 正在 代表 您 请 求 一 个 新 的 证 书 。 您 应 该 只 多 许 信任 的 网 站 为 您 请 求证 书 。 
部 门 : EBE 您 起 现在 请 求证 书 中 ? 
sm: Res 

省 : [m 


国家 (地 区 ): [CN 


更 多 选项 >》 | 


2v (SJ 


回 
B 正在 生成 申请 


图 548 填写 用 户 的 身份 信息 
选择 “是 ”, 之 后 弹出 如 图 5.4.9 所 示 的 页 面 。 
(4) CA 服务 器 响应 后 ,出现 如 图 5. 4. 10 所 示 的 证 书 挂 起 页 面 ,表示 CA 服务 器 已 经 收 


到 证 书 申请 ,需要 进行 处 理 后 才能 反馈 。 
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Zi Microsoft 证 书 服务 - Microsoft Internet Explorer 


| 文件 虽 。 编 辑 (E) SEV KEM TAD 帮助 (由 


| em- >- 0AA Qr are gma- 30-8 
Imm mE OOOO ëO ORB! |g > 


Web 浏览 器 证 书 - 标识 信息 
请 输入 将 在 您 的 证 书 中 出 现 的 标识 信息 : 


名 称 : Imm cert 
电子 邮件 : [shiyanshi@buptedu.cn 


省 : | 北京 
国家 (地 区 ): [EN] 


更 多 选项 >> 


| ZO 编辑 (E) BSW) KAA IAW RUD 
HAE- >- OD dG Que wee 天 大 a aa- A 


Hicrosoft 证 书 服务 -- SHIYANSHI 


证 书 挂 起 

您 的 证 书 申请 已 经 收 到 。 不 过 ， 您 必须 等 符 管理 员 发 布 您 申请 的 证 书 。 
请 在 一 天 或 两 天 内 回 到 此 web 站 点 以 检索 您 的 证 书 。 

注意 : 您 必须 用 此 veb 浏览 器 在 10 天 内 返回 以 检索 您 的 证 书 


5410 证 书 挂 起 


至 此 证 书 申请 已 经 完成 ,等 待 根 CA 发 布 该 证 书 。 
3) 证 书 发 布 
CD 在 根 CA 所 在 的 计算 机 上 , 单 击 “ 开 始 ” ,选择 “程序 ”管理 工具 ”一 证 书 颁发 机 
构 ”。 在 弹出 的 窗口 左 侧 的 树 形 目 录 中 选择 “待定 申请 ”, 上 一 步 中 申请 的 证 书 web cert 出 
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现在 窗口 右 侧 ,如 图 5.4.11 所 示 。 


Ca 不 成 功 的 申请 


5411 待定 申请 的 证 书 


(2) 在 证 书 上 右 击 ,选择 “所 有 任务 ”一 “颁发 ” ,进行 证 书 颁发 ,如 图 5.4.12 所 示 。 


证 书 颁 发 机 构 (本 地 ) 
B-J SHIYANSHI 
C3 吊销 的 证 书 
C3 RATES 
Q 特定 申请 
Ca 不 成 功 的 申请 


图 5412 证 书 颁发 


(3) 证 书 颁 发 后 将 从 “待定 申请 ”文件 夹 转 入 到 “颁发 的 证 书 ” 文 件 夹 中 ,表示 证 书 颁发 
完成 ,如 图 5.4.13 所 示 。 

4) 证 书 的 下 载 安装 

CD 在 申请 证 书 的 计算 机 上 打开 下 浏览 器 ,在 地 址 栏 中 输入 http:// 根 CA 的 IP/certsrv， 
进入 证 书 申 请 页 面 。 选 择 “ 检 查 挂 起 的 证 书 ”, 看 看 CA 是 否 颁 发 了 证 书 ,如 图 5. 4.14 所 示 ， 
单 击 “ 下 一 步 ”按钮 。 
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/alx 
ry Ay 7/810 282 


VETRO SUEDE HR) 
B-J SHIVANSHI 
C3 吊销 的 证 书 
的 证] 
C3 待定 申请 
Ca 不 成 功 的 申请 


图 5413 证 书 颁发 完成 


BES et Explore ] x 

| XO RRO SEV umo) TAD 帮助 (H) | 

| eme- +- OAA Arr Gee Gre | 色色 图- 是 

| Beto) [Æ] hetp:/759.64,153.126/certsrv/ ] era | | 链接” 
Hicrosoft 证 书 服务 一 SHIYANSHI 


欢迎 
您 使 用 此 Web 站 点 为 您 的 Web 浏览 器 ， 电 子 邮件 客户 端 ， 或 其 它 安全 程序 申请 一 个 证 书 。 一 旦 您 获得 一 个 
pim — Web 上 的 其 他 人 标识 您 自己 ， 为 电子 邮件 签名 ， 加 密 电 子 邮 件 ， 以 及 其 它 ， 基 于 您 
选择 一 个 任务 : 

CRR CA 证 书 或 证 书 吊 销 列表 

c BEP 

c tee 

下 一 步 > 
E 

E FE memet 


544 查看 挂 起 的 证 书 


(2) 在 弹出 的 页 面 中 选择 已 经 提交 的 证 书 申请 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 5.4. 15 所 示 。 
(3) 如 果 颁 发 机 构 已 将 证 书 颁发 了 , 则 弹出 如 图 5. 4. 16 所 示 的 页 面 。 


(4) 单 击 “安装 此 证 书 ”, 系统 提示 如 图 5.4. 17 所 示 ,i 
的 根 证 书 , 在 步骤 (6) 中 安装 CA 的 根 证 书 。 


这 是 由 于 没有 下 载 安装 CA 系统 


(5) 在 这 里 先 单 击 “ 是 ”按钮 ,完成 证 书 安装 ,显示 如 图 5. 4. 18 所 示 的 页 面 。 


(6) 由 于 没有 下 载 安 装 CA 系统 的 根 证 书 , 所 以 无 法 验证 此 CA 系统 颁发 的 证 书 是 否 可 
信任 。 为 此 需要 安装 CA 系统 的 根 证 书 ,在 地 址 栏 中 输入 http:// 根 CA 的 IP/certsrv, 进 入 
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| XÐ RRO SEV KAW IAD FAHD | 
| +A- >- 0AA QL Gre dae a 5 B - a 
| sso a http://59.64. 153, 126jcertsrv/certckpn.asp 司 Oral | | 链接 >| 


Kicrosoft 证 书 服务 — S 


'HIYANSHI 


检查 挂 起 的 证 书 申请 
请 选择 您 要 检查 的 证 书 申请 : 


下 一 步 > 
zi 
完成 [ [depen 
图 5415 选择 已 经 提交 的 证 书 申请 
| THO RRO BBW KEA TAD HHD 


| 
| emB-2-Qi2d|Qer Gee gme o 3 B - 
| Beto) [E heep:1/59.64.159.126/certsrvicertfnsh. asp 了 | esa | | ese » 


Hicrosoft 证 书 服务 一 


SHIYANSHI 


证 书 已 发 布 
您 申请 的 证 书 已 发 布 给 您 。 
安装 此 证 书 


图 5416 证 书 已 发 布 页 面 
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BI [5 x! 
| SHO RED ZEV REW TAD EWO | 
|emB-2-Qad|oqst gee gra 349-1 

| eto) [E] http://59.64.153. 126/certsrv/certfnsh.asp 了 | era NL M 


Hicrosoft 证 书 服务 — —SHIYANSHI 


证 书 已 发 布 


您 申请 的 证 书 已 发 布 给 您 。 


zu I —-————ÀÀM—— — «4j 
此 网 站 正在 将 一 个 或 多 个 证 书 添加 到 此 计算 机 上 。 人 允许 不 信任 的 | 


网 站 更 新 您 的 证 
书 有 安全 风险 。 此 网 站 可 能 会 安装 您 不 1 :这 可 能 会 允许 您 不 信任 的 程 
序 在 此 计算 机 上 运行 并 获取 对 您 的 数据 的 访问 。 


Pau ee 如 果 您 信任 此 网 站 ， 请 单 击 " 是 "。 否 则 ,请 单 击 ” 


am [C 


http://59.64.153. 126/certsrv]. 


[^ 
[pw mee | 
541 安装 证 书 
BES plo | 可 | xx 
[XO MO SEV ema) IAD WMH | 
| RE- +- OAA BL gre Grae a aa- B 
|| RREO [E heep://59.64.153.126/certsrvicertrmpn.asp 了 ] era || tie > 
Microsoft 证 书 服务 — SHIYANSHI 3 
证 书 已 安装 
您 的 新 证 书 已 经 成 功 安 装 。 
[^ 
E] 


Fe memet 
图 5418 完成 证 书 安装 
证 书 申 请 页 面 。 选 择 “ 检 索 CA 证 书 或 证 书 吊 销 列表 ”, 在 弹出 的 窗口 中 单 击 “下 载 CA 证 
书 ” 超 级 链接 ,如 图 5. 4. 19 所 示 。 在 弹出 的 文件 下 载 对 话 框 中 选择 恰当 的 保存 路 径 ,将 证 书 
保存 在 本 地 。 


CD 下 载 完 毕 后 ,在 证 书 保存 目录 中 双击 此 证 书 可 查看 证 书信 息 ,如 图 5. 4. 20 所 示 。 
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#icrosoft 证 书 服务 -- SHIYANSHI 


检索 CA 证 书 或 证 书 吊销 列表 
安装 此 CA 证 书 路 径 以 允许 您 的 计算 机 信任 从 该 证 书 颁 发 机 构 发 布 的 证 书 。 
22 ORUPUKCPREICUMSNSER, 则 不 需要 手动 安装 CA 证 书 路 径 ， 因为 CA 证 书 路 径 将 


TEPER TINA 
CA 证 书 : 


CDER 编码 或 OBase 64 编码 
下 载 CA 证 书 
Fat CA 证 书 路 径 

下 载 最 新 的 证 书 吊销 列表 


zu [I8 gre 
E] 5419 T 3X CA 的 根 证 书 


单 击 “ 安 装 证 书 ” 按 钮 , 则 进入 证 书 导入 向 导 , 采 用 默认 设置 完成 证 书 的 导入 ,导入 成 功 后 , 单 
击 “ 确 定 ” 按 钮 即 可 。 


下 Ex 
常规 | 详细 信息 | 证 书 路 径 | 


证 书信 息 


这 个 证 书 的 目的 是 : 
* 保证 远程 计算 机 的 身份 
* 向 远程 计算 机 证 明 您 的 身份 
* 确保 软件 来 自 软 件 发 行商 
* 保护 软件 在 发 行 后 不 被 改动 。 


颁发 给 : — SHIYANSHI 


颁发 者 : — SHIYANSHI 


有 效 期 起 始 日 期 2005-1-21 到 2007-1-21 


图 5420 证 书信 息 


2. 企业 根 CA 的 安装 和 使 用 
1) 企业 根 CA 的 安装 
(1) 如 已 经 安装 独立 根 CA , 则 在 “添加 与 删除 程序 ”面板 中 选择 “添加 和 删除 Windows 


组 件 ”, 在 弹出 的 面板 中 将 “证 书 服务 ”前 面 的 勾 去 掉 , 单 击 “ 下 一 步 ” 按 钮 ,删除 原来 安装 
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的 CA。 

(2) 在 安装 企业 根 CA 前 ,需要 启动 Active Directory 用 户 和 计算 机 项 。 单 击 “ 开 始 ” 按 
Hl ,选择 “程序 ”一 “管理 工具 ”Active Directory 用 户 和 计算 机 ”, 如 正确 弹出 如 图 5. 4. 21 
所 示 的 窗口 , 则 功能 启动 正确 。 


Active Directory 用 户 和 计算 机 EE 


Ig ale! x 


-C ForeignsecurtyPrincipals 


5421 Adive Directory 用 户 和 计算 机 


如 果 不 能 正确 打开 该 窗口 , 则 尝试 关闭 防火 墙 。 如 “管理 工具 ”中 没有 该 选项 , 则 打开 
“控制 面板 ”>“ 管 理工 具 ” 一 “配置 服务 器 ”, 配 置 该 选项 。 

D 再 次 打开 步骤 (1) 中 的 “添加 和 删除 Windows 组 件 ? 面 板 ,选中 * 证 书 服务 ”, 单 击 
“下 一 步 ” 按 钮 ,再 次 安装 该 服务 。 在 出 现 的 窗口 中 选择 “企业 根 CA”, 如 图 5.4. 22 Bros , 单 
击 “ 下 一 步 * 按 钮 。 


图 5422 选择 证 书 颁发 机 构 类 型 
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(4) 之 后 的 步骤 与 独立 根 CA 的 安装 相同 ,请 参照 前 面 的 步骤 完成 安装 。 

2) 将 局 域 网 中 的 计算 机 加 入 CA 服务 器 所 在 的 域 

(1) CA 服务 器 被 设 为 其 所 在 域 的 控制 计算 机 ,CA 服务 器 以 域 管理 员 身 份 登录 系统 ， 
即 在 系统 登录 界面 中 单 击 右 下 角 的 “选项 ”按钮 ,出 现 “ 登 录 到 ”文本 框 , 在 其 中 填 入 该 服务 器 
所 在 域 的 域名 。 

注意 : 如 要 查看 计算 机 所 在 域 的 域名 ,可 以 右 击 “ 我 的 电脑 ”, 在 快捷 菜单 中 选择 “属性 ” 
命令 ,选择 “属性 ?对 话 框 中 的 “网 络 标识 ”选项 卡 查 看 ,如 图 5.4.23 所 示 。 

(2) 将 域 控 制 计 算 机 的 IP 地 址 添加 到 该 计算 机 的 域名 解析 (DNS) 服 务 器 列表 中 。 在 
本 例 中 ,以 黑 线 标识 的 即 为 域 控制 计算 机 的 IP 地 址 ,这 是 为 了 正确 解析 要 添加 的 域名 ,如 
图 5.4. 24 所 示 。 


Internet 协议 (TCP/IP) EEE 


5423 系统 特性 图 5424 CNS 配 置 


(3) 在 局 域 网 中 非 根 CA 及 域 控制 计算 机 的 另外 一 台 计 算 机 上 , 右 击 “ 我 的 电脑 ”, 在 快 
捷 菜单 中 选择 “属性 ”命令 ,选择 “属性 ”对 话 框 中 的 “网 络 标识 ”选项 卡 , 单 击 “ 属 性 ”按钮 ,如 
图 5.4. 25 所 示 。 

(4) 在 弹出 的 窗口 中 “隶属 于 ” 框 内 选择 “ 域 ”", 并 在 文本 框 中 添加 要 加 入 的 域 的 名 称 , 单 
击 “ 确 定 ” 按 钮 ,如 图 5.4.26 所 示 。 

(5) 若 正 确 连 接 , 则 将 弹出 “ 域 登录 用 户 名 及 密码 输入 对 话 框 ”, 在 其 中 填 入 域 控制 计算 
机 的 用 户 名 和 密码 , 单 击 “ 确 定 ” 按 钮 ,将 弹出 如 图 5. 4. 27 所 示 的 窗口 。 

这 说 明 已 经 成 功 加 入 该 域 中 。 

3) 在 企业 根 CA 模式 下 以 Web 方式 申请 和 安装 证 书 

(1) 在 已 加 入 域 的 客户 端 打开 IE, 在 地 址 栏 中 输入 https: // 根 CA 的 IP/certsrv 打开 
证 书 申请 页 面 ,选择 “申请 证 书 ”, 单 击 “ 下 一 步 ” 按 钮 ,弹出 如 图 5. 4. 28 所 示 的 页 面 。 

(2) 此 时 证 书 的 类 型 只 有 “用 户 证 书 ”, 可 用 于 标识 用 户 身份 。 选 中 “用 户 证 书 ”, 单 击 
“下 一 步 ? 按 钮 ,弹出 如 图 5.4. 29 所 示 的 页 面 。 
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图 5436 加 入 域 


F Microsoft 证 书 服务 - Microsoft Internet Explorer 


选择 申请 类 型 


请 选择 您 要 进行 的 申请 类 型 : 
c 用 户 证 书 申请 : 


图 542B 选择 申请 类 型 
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| ZAG 20) SEV BEA IAW 帮助 (由 | 
|emB-2-Qind|Qse gee gre |B 516-8 
srs oom E 


Hicrosoft 证 书 服务 一 


信息 安全 中 心 qy 


用 户 证 书 - 标识 信息 


已 经 收集 到 所 有 需要 的 标识 信息 。 现 在 可 以 提交 您 的 申请 。 


更 多 选项 >> 
提交 > 
[^ 
EJ [JB [@ tenet | 
5429 标识 信息 说 明 
(3) 单 击 “提交 ”按钮 ,弹出 如 图 5.4. 30 所 示 的 页 面 。 
| XO 编辑 () BEY BAW TAD WR) | 
|m- >- ODA aL aem Gre |3-GR-3o 
| tto) [Æ] https://59,64.153,126/certsrvicertfnsh.asp EEZ NL 
证 书 已 发 布 
您 申请 的 证 书 已 发 布 给 您 。 
[E] eculcur s 
加 
EZ 
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图 5430 申请 的 证 书 已 经 发 布 


(4) 单 击 “安装 此 证 书 ”, 如 果 此 时 CA 根 证 书 并 未 下 载 到 本 地 计算 机 , 则 出 现 如 图 5. 4. 31 
所 示 的 页 面 。 


(5) 单 击 “ 是 ”按钮 ,完成 根 CA 证 书 的 安装 。 
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| sco) [e https:j[S9.64.153.126/certsrv[certfnsh.asp 司 eH |s bd 
证 书 已 发 布 
您 申请 的 证 书 已 发 布 给 您 。 

安装 此 证 书 AER TOESE RENE? 


主题 : 信息 安全 中 心 qy, BUPT, BUPT, JE, 北京, CN, 163. 
E oy, |, CN, shiyanshi@163.com 


: 从 2005 年 ! 月 23 日 到 20071 8238 
1784588A， 76D1 24ESD1C4 
Bier: 6480F075 0612807 62D79E33 D0A24953 A483B4B7 
D3SCO44E CDOGCEBS 4E1E6BAC ZFÜDSDAC 


ao (xu 


pm sce ny T AINE c 
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(6) 下 面 可 以 看 看 根 CA 证 书 是 否 已 安装 。 在 “运行 ?对 话 框 中 输入 mmc, 打 开 控 制 台 ， 
选择 菜单 “文件 ”一 “添加 /删除 管理 单元 ”命令 , 单 击 “ 添 加 ”按钮 ,并 在 其 中 选中 “证 书 ” 项 ,再 
依次 单 击 “ 添 加 ”“ 完 成 “关闭 ”“ 确 定 ” 按 钮 。 在 出 现 的 管理 控制 台 树 形 目录 中 ,证 书 按照 
属性 保存 在 不 同 的 文件 夹 中 ,例如 “个 人 ”文件 夹 下 保存 了 普通 用 户 申请 的 证 书 。 微 软 公司 
利用 管理 控制 台 进行 证 书 的 管理 。 在 “控制 台 根 节点 ”下 的 “证 书 ” 菜 单 中 ,选择 “受信 任 的 根 
证 书 颁发 机 构 ”>“ 证 书 ”, 这 个 文件 夹 专 门 用 于 存放 受信 任 的 CA 根 证 书 , 其 中 已 安装 了 许 
多 知名 CA 的 根 证 书 ,上 面 刚刚 安装 的 “信息 安全 中 心 gy” 的 根 证 书 也 被 放 在 这 个 文件 夹 
中 ,如 图 5. 4. 32 所 示 。 


ii 控制 台 1 - [控制 台 根 节点 \ 证 书 - ‘受信 任 的 根 证 书 全 发 机 构 \ 证 书 ] 
| 控制 和 (QO BOW WWD 


树 uico | i 

[加 控制 各 根 节点 国 uTN-UsERFirst-Object UTN-USERFirst-Object 
Ep 证书- 当前 用 户 国 verisign Commercial Software Publ... VeriSign Commercial Software Publis... 
E-C3 个 人 verisign Commercial Software Publ... VeriSign Commercial Software Publis... 
E-C3 Se AREA [E] verisign Individual Software Publis... VeriSign Individual Software Publishe. 


Qiks verisign Individual Software Publis. VeriSign Individual Software Publishe. .. 

C3 企 业 信任 E verisign Trust Network VeriSign Trust Network 
Ca 中 级 证 书 颁发 机 构 [d verisign Trust Network VeriSign Trust Network 

国 Active Directory FB P": |dverisign Trust Network VeriSign Trust Network 
C3 受信 任 的 发 行者 。 “|verisign Trust Network VeriSign Trust Network 
由 - 国 不 信任 的 证 书 国 verision Trust Network VeriSign Trust Network 
申 -入 25 ERMA verisign Trust Network VeriSign Trust Network 
&-C3 受信 任 人 verisign Trust Network VeriSign Trust Network 


pam 证 书 注册 中 请 国 verision Trust Network Verisign Trust Network 


4 ls 
长 信 任 的 根 证 书 侨 发 机 构 存储 含有 108 个 证 书 。 


图 542 已 安装 的 根 证 书 
e157. 


可 以 看 出 ,由 于 企业 根 CA 主要 用 于 为 信任 程度 相对 较 高 的 域内 计算 机 颁发 证 书 , 因 此 
申请 获得 证 书 的 方式 比较 简单 便捷 ,不 需要 等 待 根 CA 的 颁发 。 

4) 在 企业 根 CA 模式 下 从 控制 台 申请 和 安装 证 书 

CD 对 于 企业 根 CA ,对 于 处 于 同一 个 域 中 的 计算 机 ,除了 利用 上 面 的 Web 方式 申请 证 
书 外 ,还 可 以 利用 图 5. 4. 32 所 示 的 控制 台 界 面 申请 证 书 。 右 击 “ 个 人 ”文件 夹 ,在 “所 有 任 
务 ” 中 选择 “申请 新 证 书 ” 命 令 , 弹 出 “证 书 申请 向 导 ”, 可 利用 此 向 导 到 根 CA 中 申请 证 书 , 单 
击 “ 下 一 步 ” 按 钮 ,弹出 图 5. 4. 33 所 示 的 证 书 模板 对 话 框 。 选 中 “高 级 选项 ” 复 选 框 ,根据 申 
请 的 证 书 用 途 选择 证 书 模板 后 单 击 “ 下 一 步 ” 按 钮 。 


5433 证 书 模板 对 话 框 


(2) 在 下 面 的 对 话 框 中 选择 默认 的 微软 加 密 服务 提供 程序 CSP, 然 后 单 击 “ 下 一 步 ” 按 
钮 ,选择 颁发 证 书 的 CA, 如 图 5. 4. 34 所 示 , 单 击 “ 下 一 步 ” 按 钮 。 


图 543 颁发 证 书 的 CA 
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(3) 在 窗口 中 输入 证 书 的 名 称 和 描述 ,如 图 5. 4. 35 所 示 , 单 击 “下 一 步 ” 按 钮 ,在 一 个 窗 
( 见 图 5. 4. 36) 中 单 击 “ 完 成 ”按钮 ,把 证 书 请 求 发 给 根 CA。 


证 书 申请 向 导 E xi 


TBR IEEE RH 
您 可 以 提供 名 称 和 描述 ， 以 便 快 速 识别 某 个 证 书 。 


为 新 证 书 键入 好 记 的 名 称 和 描述 。 
SESH): 

buptceshi 

Hew: 


— 


< 上 一 步 四 ) xm | 


图 5435 证 书 的 名 称 和 描述 


(4) 接着 弹出 证 书 申请 成 功 对 话 框 , 单 击 “ 安 装 证 书 ” 按 钮 ,如 图 5. 4. 37 所 示 , 则 将 申请 

的 证 书 安装 到 证 书库 中 ,如 图 5. 4. 38 所 示 。 
E 
正在 完成 证 书 申请 向 导 


您 已 成 功 地 完成 了 证 书 申请 向 导 。 
您 已 指定 下 列 设置 : 


buptceshi 
帐 尸 名 administrator 
i ISCTEACHERO2 


证 书 申请 向 导 
证 书 申 请 是 成 功 的 。 


图 5436 完成 窗口 图 5437 证 书 申请 成 功 窗口 


3. 证 书 服务 管理 

在 上 面 的 证 书 颁发 机 构 菜单 中 ,还 有 多 项 证 书 服务 管理 功能 。 下 面 进 行 简单 介绍 ， 
包括 : 

D 启动 /停止 证 书 服务 

如 图 5. 4. 39 所 示 , 右 击 CA 公共 名 称 节点 (这 里 为 shiyan) ,在 “所 有 任务 ”中 选择 “停止 
服务 ”命令 , 即 可 停止 证 书 服务 ,CA 公共 名 称 节点 变 成 红 叉 ; 同 样 操作 中 ,选择 “启动 服务 ” 
命令 , 则 可 开启 证 书 服务 。 

2) CA 备份 /还 原 

Hit CA 公共 名 称 节点 ,在 “所 有 任务 ”中 选择 “备份 CA” 命令 , 即 进入 “证 书 颁发 机 构 备 
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份 向 导 ”, 单 击 “ 下 一 步 ” 按 钮 ,弹出 如 图 5. 4. 40 所 示 的 备份 项 目 对 话 框 ,选择 要 备份 的 项 目 
和 备份 的 文件 夹 , 单 击 “ 下 一 步 ” 按 钮 。 

为 了 保护 私 钥 的 安全 性 ,接着 要 输入 保护 私 钥 和 证 书 文件 的 密码 ,如 图 5.4. 41 所 示 , 单 
击 “ 下 一 步 ” 按 钮 ,再 单 击 “ 完 成 ”按钮 , 即 完成 CA 的 备份 。 

CA 的 还 原 操作 需要 先 停止 CA 服务 ,然后 右 击 CA 公共 名 称 节 点 ,在 “所 有 任务 ”中 选 
择 “ 还 原 CA” 命 令 , 即 进入 “证 书 颁发 机 构 还 原 向 导 ”, 单 击 “ 下 一 步 ” 按 钮 ,弹出 如 图 5. 4. 42 
所 示 的 选择 还 原 项 目 对 话 框 ,选择 要 还 原 的 项 目 和 证 书 文件 所 在 的 文件 夹 , 单 击 “ 下 一 步 ” 按 
钮 。 接 着 要 输入 保护 私 钥 和 证 书 文件 的 密码 ,这 个 密码 就 是 CA 备份 时 设置 的 , 单 击 “ 下 一 
Ab HAL ,再 单 击 “ 完 成 ?按钮 , 即 完成 CA 的 还 原 。 
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要 备份 的 项 目 
您 可 以 备份 证 书 颁 发 机 构 数据 的 单个 组 件 。 


图 5440 CA 备份 项 目 


证 书 颁发 机 构 备份 向 导 


选择 密码 
要 加 密 和 解密 消息 ， 需 要 公 钥 和 私 钥 。 您 必须 为 私 钥 提供 一 个 密码 。 


5441 保护 私 钥 和 证 书 文件 的 密码 


证 书 颂 发 机 构 还 原 向 导 


要 还 原 的 项 目 
您 可 以 还 原 备份 文件 的 单个 组 件 。 


图 544 选择 还 原 项 目 
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3) 证 书 废除 

右 击 “ 和 颁发 的 证 书 ” 中 需要 废除 的 证 书 , 在 弹出 的 快捷 菜单 中 选择 “所 有 任务 ”中 的 “ 吊 
销 证 书 ” 命 令 , 如 图 5. 4. 43 所 示 。 在 弹出 的 * 证 书 吊销 ?对 话 框 中 选择 吊销 的 理由 后 单 击 
“是 ”按钮 ,如 图 5.4. 44 所 示 。 现 在 这 个 被 废除 的 证 书 就 转移 到 了 “吊销 的 证 书 ” 文 件 夹 中 ， 
如 图 5. 4. 45 所 示 。 


[E Li] 
we BEY || © MEE 


| 
[| | 
DUL do*€E uos 


Ca 不 成 功 的 申请 
ABBE 


图 5465 吊销 的 证 书 
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4) 证 书 吊销 列表 的 创建 

为 了 把 吊销 的 证 书 对 外 发 布 ,下 面 创建 一 个 证 书 吊销 列表 ,以 供 客户 端 下载 查 询 。 右 击 
“吊销 的 证 书 ” 文 件 夹 ,在 “所 有 任务 ”中 选择 “发 行 ”命令 ,然后 在 图 5. 4. 46 中 单 击 “ 是 ”按钮 ， 
即 可 完成 证 书 吊销 列表 的 创建 和 发 布 。 


5446 发 现 新 CAL 


接着 查看 创建 的 证 书 吊销 列表 , 右 击 “吊销 的 证 书 ” 文 件 夹 ,选择 快捷 菜单 中 的 “属性 ”， 
弹出 “吊销 的 证 书 属性 ?窗口 , 单 击 “ 查 看 当前 CRL” 按 钮 , 则 弹出 “证书 吊销 列表 ”, 如 图 5. 4. 47 
所 示 ,在 “常规 ?菜单 中 显示 了 证 书 吊销 列表 颁布 者 的 信息 ,在 "吊销 列表 ”中 显示 了 吊销 的 证 
书信 息 。 


shiyan, shiyanshi, bupt, b... 
200533228 14:18:56 
200539308 2:38:56 


shal RSA 
PRIER KeyID=B397 195A D439 CCT2 . 


ca 版 本 vo.0 


图 5447 证 书 吊销 列表 


4. 配置 基于 Web 的 SSL 连接 

1) 为 Web 服务 器 申请 证 书 

CD 单 击 “ 开 始 ” 按 钮 ,选择 “程序 ”一 “管理 工具 ”一 “Internet 服务 管理 器 ”命令 ,在 弹出 
的 如 图 5.4. 48 所 示 的 窗口 左 侧 的 树 形 列表 中 右 击 “ 默 认 Web 站 点 ”, 选 择 “ 属 性 ”命令 。 

(2) 在 如 图 5. 4. 49 所 示 的 窗口 中 选择 “目录 安全 性 ”选项 卡 , 单 击 “ 安 全 通信 ”中 的 “ 服 
务 嚣 证书” 按钮 。 

G) 在 出 现 的 欢迎 使 用 Web 服务 器 证 书 向 导 中 单 击 “ 下 一 步 ” 按 钮 ,在 图 5. 4. 50 中 , 选 
中 “创建 一 个 新 证 书 ” 复 选 框 , 单 击 “ 下 一 步 ”按钮 。 

(4) 在 弹出 的 如 图 5. 4. 51 所 示 的 窗口 中 输入 证 书 的 名 称 , 单 击 “ 下 一 步 ” 按 钮 。 
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E 544 默认 Web 站 点 属性 
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最 务 器 证 书 
有 三 种 方法 格 证 书 分 配 到 ted 站 点 上 。 


图 5451 服务 器 证 书 命名 和 安全 设置 


(5) 根据 如 图 5.4. 52 所 示 的 窗口 提示 输入 组 织 和 组 织 部 门 信息 , 单 击 “ 下 一 步 ? 按 钮 。 


IIS 证 书 向 导 


组 织 信息 
您 的 证 书 必须 有 您 的 姐 织 的 相关 信息 ， 以 便 将 其 与 其 它 组 织 区 分 。 


图 5452 组 织 信息 
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(6) 在 图 5. 4. 53 中 输入 站 点 的 公用 名 称 , 单 击 “ 下 一 步 ?按钮 。 


站 点 的 公用 名 称 
您 Web 让 点 的 公用 全 称 是 其 完全 合格 的 名称 。 


5453 输入 站 点 名 称 


(7) 在 图 5. 4. 54 中 接着 输入 站 点 的 地 理 信 息 , 单 击 “下 一 步 ? 按 钮 。 


图 5454 输入 地 理 信 息 


(8) 在 图 5. 4. 55 中 输入 证 书 请 求 文件 的 文件 名 和 存放 路 径 , 单 击 “ 下 一 步 ” 按 钮 。 在 这 
个 证 书 请 求 文 件 中 存放 着 刚才 输入 的 用 户 信 息 和 系统 生成 的 公 钥 。 

(9) 出 现 如 图 5.4. 56 所 示 的 确认 信息 窗口 , 单 击 “ 下 一 步 ” 按 钮 ,接着 单 击 “ 完 成 ”按钮 ， 
完成 服务 器 证 书 申请 。 

2) 提交 Web 服务 器 证 书 

CD 在 服务 器 所 在 的 计算 机 上 打开 IE 浏览 器 ,在 地 址 栏 中 输入 http:// 根 CA 的 IP/ 
certsrv ,在 出 现 的 页 面 中 选中 "申请 证 书 ”, 并 单 击 * 下 一 步 ? 按 钮 。 

(2) 在 弹出 的 如 图 5.4. 57 所 示 的 页 面 中 选中 “高 级 申请 ” 复 选 框 ,并 单 击 “ 下 一 步 ” 按 
钮 。 高 级 申请 可 以 由 用 户 导 入 请 求证 书 文件 。 

(3) 在 弹出 的 如 图 5. 4. 58 所 示 的 页 面 中 选中 “使 用 Base64 编码 的 …… ” 单 选 按 钮 ,并 
单 击 “下 一 步 ” 按 钮 。 

。 166 。 


证 书 请 求 文件 名 
证 书 请 求 用 您 指定 的 文件 名 被 保存 为 一 个 文本 文件 。 


5455 输入 证 书 请 求 文件 名 和 路 径 


5456 请 求 文件 摘要 


Z} Microsoft 证 书 服务 - Microsoft Internet Explorer 


- x (2) |< r^ ga 5 B -I& z 
CA 二 
Microsoft i F 7 
选择 申请 类 型 


请 选择 您 要 进行 的 申请 类 型 : 
c 用 户 证 书 申请 : 


电子 邮件 保护 证 书 | 


c BRR 


图 5457 选择 申请 类 型 
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Microsoft 证 书 服务 - Microsoft Internet Explorer 
文件 (E) RHO SEV KEA TAQ $8500 
PAR- 2- GAA Asr uemx Gut G/B SO-EaA 


Hit) |S) http: //202.112.108.203/certsrvjcertrqad.asp 


Microsoft 证 书 服务 -- bupt shiyanshi 
高 级 证 书 申 请 


您 可 以 用 下 列 方法 之 一 为 您 自己 ， 其 他 用 户 ， 或 计算 机 申请 一 个 证 书 。 请 注意 证 书 
颁发 机 构 (CA) 的 策略 将 决定 您 能 获得 的 证 书 。 


c 使 用 表格 向 这 个 CA 提交 一 个 证 书 申 请 。 


e 使 用 base64 编码 的 PKCS #10 文件 提交 一 不 
的 PKCS #7 文件 更 新 证 书 申 请 。 


C 使 用 智能 卡 注册 站 为 代表 另 一 用 户 的 智能 卡 申请 一 个 证 书 。 
ELAR HER REIERBUAR APRS M BR 


TB» 
meo tert 


548 高 级 证 书 申请 


(4) 单 击 “ 浏 览 ”, 找 到 证 书 请 求 文件 ,并 把 它 插入 在 如 图 5. 4. 59 所 示 的 页 面 中 的 
“Base64 编码 证 书 申请 ”文本 框 内 , 单 击 “ 提 交 ” 按 钮 ,将 上 面 刚刚 完成 的 证 书 请 求 文件 ( 即 含 
有 个 人 信息 和 公 钥 的 文件 ) 提 交 。 


Z} Microsoft 证 书 服务 - Microsoft Internet Explorer 
文件 (E) wi SEV dum) TAD ABW 
PAR- >- O29 d| Qe ax Qus G/B aD- HA 
Hit) (Æ) http://202. 112, 108,203/certsrvicertrqxt.asp =] ORD | 链接 > 


粘贴 一 个 base64 编码 的 PKCS #10 证 书 申请 或 由 外 部 应 用 程序 (如 web 浏览 器 ) 
生成 的 PKCS #7 更 新 申请 到 申请 字段 以 提交 一 个 申请 到 证 书 颁 发 机 构 (CA) 。 


保存 的 申请 : 


k+1suadZidegiStabLqe43iiyt YeVBApxLrtvlyv¥a 
mOkVNmCLVsx410tGDXt uETFOD6dSi/NSumEyebsb 
Base64 编码 |avarse/umE/0/cnyje3a201ESr1kiFFIIKTDUAA 
证 书 申请 |BQuahoEAiGHk+535ceRs4Ctoz6NMLoxAueUUpfiQG 

(PKCS #10 或 #7): pBO7«*niikjud3nmOYUBPFV2d8c9hJg-- | 

Saa END NEW CERTIFICATE REQUEST-----| Ba 

» 


ale 要 插入 的 文件 。 


附加 属性 : 


属性 : 


Asa [ll I 
A549 提交 一 个 保存 的 申请 


(5) 弹出 如 图 5.4. 60 所 示 的 页 面 ,表示 提交 成 功 。 
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HOE(D) |S) hitp:/1202.112.108.203/certsrvcertfnsh.asp. 


Microsoft 证 书 服务 -- bupt shiyanshi 

证 书 挂 起 

您 的 证 书 申 请 已 经 收 到 。 不 过 ， 您 必须 等 待 管理 员 发 布 您 申请 的 证 书 。 
请 在 一 天 或 两 天 内 回 到 此 web 站 点 以 检索 您 的 证 书 。 

注意 : 您 必须 用 此 web 浏览 器 在 10 天 内 返回 以 检索 您 的 证 书 


回 
DL MEM 三 mem 
540 证 书 提 交 后 挂 起 


3) 服务 器 证 书 的 颁发 和 安装 

实现 步 又 与 前 面 介绍 的 独立 根 CA 的 安装 步骤 (3)、(4) 相 同 。 

4) 客户 端 证 书 的 申请 、 颁 发 和 安装 

在 男 一 台 计算 机 上 重复 前 面 介绍 的 独立 根 CA 的 安装 步骤 (2) 一 (4) ,完成 客户 端 证 书 
的 申请 ,颁发 和 安装 。 

5) 未 配置 SSL 的 普通 Web 连接 的 安全 性 

(1) 在 配置 SSL 设置 前 ,在 网 络 中 男 外 一 台 计 算 机 中 打开 网 络 监测 工具 Sniffer, 监测 
Web 服务 器 的 网 络 流量 。 

(2) 在 客户 端 访 问 服务 器 的 证 书 申请 网 页 http:// 根 CA AY IP/certsrv, 第 三 方 计算 机 
的 Sniffer 工具 监测 到 了 如 图 5. 4. 61 所 示 的 数据 包 (Sniffer 的 使 用 见 第 4 章 )。 

可 以 看 出 ,在 SSL 配置 之 前 ,Web 访问 信息 是 明文 传输 的 ,第 三 方 可 以 利用 相关 的 工具 
窃取 信息 ,在 截获 的 POST 类 型 的 数据 包 中 可 以 获得 连接 的 地 址 等 相应 信息 。 

6) 在 服务 器 上 配置 SSL 

CD 单 击 “ 开 始 ” 按 钮 ,选择 “程序 ”>“ 管 理工 具 ”>“Internet 服务 管理 器 ”命令 ,在 弹出 
的 窗口 左 侧 树 形 列表 中 右 击 “ 默 认 Web 站 点 ”, 选 择 “ 属 性 ”命令 。 

(2) 在 弹出 的 窗口 中 选择 “目录 安全 性 ”菜单 项 ,选择 面板 上 “安全 通信 ”中 的 “查看 证 
书 ” 项 ,查看 第 (2) 步 中 安装 的 证 书 ,如 图 5. 4. 62 所 示 。 

CD 单 击 “ 确 定 ” 按 钮 后 返回 到 “目录 安全 性 ”面板 ,选择 “安全 通信 ”中 的 “编辑 ”项 ,在 弹 
出 的 如 图 5.4. 63 所 示 的 窗口 中 选择 “申请 安全 通道 (SSL)”, 并 在 “客户 证 书 ” 栏 中 选择 “ 接 
收 客户 证 书 ”, 单 击 “ 确 定 ” 按 钮 。 注 意 :“ 忽 略 客户 证 书 ” 表 示 服 务 器 不 要 求 验证 客户 端的 身 
份 , 客 户 端 不 需要 证 书 , 但 客户 端 可 以 验证 服务 器 的 身份 ;“ 接 收 客户 证 书 ” 则 表示 双方 均 可 
以 验证 对 方 的 身份 。 
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一 Sniffer - Local, Ethernet (Line speed at 100 Mbps) - [Snif3.cap: Decode, 56/68 Ethernet Frames] 


EM File Monitor Capture Display Tools Database Window Help 


ol il wr aid f l 
ial aia! RELL E Al 9 el 


Dest Address Len (B[Rel. «| 
213]|[59 80 S-1 85746942 WIN=1752160 
.213]|[59 
126]|[59 


8 WIN=1743 


533478 WIN=1752160 


2 mmm] TT 


000000b0 
000000c0 
000000d0 
000000e0 
000000£0 
00000100 
00000110 
00000120 
00000130 
00000140 
00000150 
00 


= Table Protocol Dit "A Staisics 


eS: Kea 


5461 未 配置 SSL 的 普通 web 连接 


PL = 2x 


常规 | 详细 信息 | 证 书 路 径 | 


证 书信 息 
xj 
这 个 证 书 的 目的 是 : 
* 保证 远程 计算 机 的 身份 [v 申请 安全 通道 ESL) (&) 
T 申请 128 firme a) 
广 客户 证 书 
c 和 折 略 客户 证 书 O 
c RSPR O) 
- C 申请 客户 证 书 
颁发 给 :  shiyanshi 
T BREPUEBBAR U) 
E SPIE SAW 到 | Windows 用 户 帐号 。 这 样 
modo uas TUCKS SSAA. 
有 效 期 起 始 日 期 2005-1-21 到 2006-1-21 peso. | 
P 您 有 一 个 与 该 证 书 对 应 的 私 钥 。 厂 局 用 证 书信 和 任 列表 QD 
Sinh CTILC) [ x 
MEEA GY | PEW Sate GL) | 


取消 | amw] 


图 5462 ”服务 器 端 安装 的 证 书 图 5463 SSL 服 务 器 端的 安全 通信 配置 


(4) 返回 “目录 安全 性 ”面板 , 单 击 “ 应 用 ”及 “确定 ”按钮 ,完成 配置 。 

7) 客户 端 通过 SSL 与 服务 器 建立 连接 

CD 在 网 络 中 第 三 方 的 计算 机 上 打开 网 络 监测 工具 Sniffer ,监测 服务 器 的 数据 包 。 

(2) 在 客户 端 计算 机 上 打开 IE 浏览 器 , 若 仍 在 地 址 栏 中 输入 http:// CA 的 IP/ 


certsrv, 则 显示 如 图 5. 4. 64 所 示 的 页 面 ,要 求 采用 https( 安 全 的 http) 协 议 连 接 服务 器 端 。 


(3) 输入 https: // 根 CA 的 IJP/certsrv, 弹 出 如 图 5.4. 65 所 示 的 提示 窗口 。 
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是 a| Qe 
b) (Æ) http: /1s9.64.153, 126jcertsry 


该 网 页 必须 通过 安全 频道 查看 


您 要 查看 的 网 页 要 求 在 地 址 中 使 用 “https”。 


请 尝试 下 列 操作 : 
e 在 您 要 访问 的 地 址 前 面 键 入 “https:”， 然 后 重 试 。 


HITP 403.4 - 禁止 访问 : ER SSL 
Internet 信息 服务 


5464 网 页 连接 错误 


图 5465 安全 提示 


(4) 单 击 “确定 ”按钮 ,弹出 如 图 5. 4. 66 所 示 的 证 书 选择 窗口 。 

在 窗口 中 选择 步骤 (2) 中 申请 的 证 书 web cert, 单 击 “ 确 定 ” 按 钮 。 

(5) 之 后 将 正确 弹出 正常 的 证 书 申请 页 面 ,完成 基于 SSL 的 连接 。 

(6) 查看 第 三 方 计算 机 上 的 Sniffer 的 监测 结果 ,其 中 并 未 出 现 POST 类 型 的 有 效 信息 
包 ,截获 的 信息 均 为 无 效 的 乱码 ,如 图 5. 4. 67 所 示 。 

这 说 明 SSL 很 好 地 实现 了 Web 连接 的 安全 性 。 


“ 171 >» 


图 5465 证 书 选择 窗口 


Sniffer - Local, Ethernet (Line speed at 100 Mbps) - [Snif1.cap: Decode, 36/130 Ethernet Frames] 


D-23808 5-443 ACK=1634793000 
D=443 S=3808 ACK=2462566959 
D=443 S=3808 ACK=2462566959 
D=3808 S=443 ACK=1634793001 
D=3808 S=443 ACK=1634793001 
D=443 S=3808 ACK=2462566960 
D-443 5-3941 SEQ-1641610881 
D-23941 S=443 ACK=1641610882 
D=443 S=3941 ACK=2463809180 
D-443 S=3941 ACK=2463809180 
D=3941 5-443 ACK=1641610990 


4 4 E T 
D-3941 S=443 ÀCK-1641611108 
D=443 52-3941 ÀCK-2463810382 
D-3941 S=443 ÀCK-1641611682 J 
D=443 S=3941 ACK=2463810407 SEQ=164] 


00 01 02 90 57 37 00 80 c8 f5 4f 7e 08 00 45 00 . d 
: 00 9e 44 60 40 00 80 06 Od 26 3b 40 98 d5 3b 40 1 umm 
: 99 7e 0f 65 01 bb 61 d8 fe ee 92 da c3 23 50 18 E: Ki IS EN 


: 3f e9 7f 44 00 00 


547 建立 SSL 连 接 后 的 安全 性 


实验 报告 要 求 


实验 目的 。 

附 上 实验 过 程 的 截图 和 结果 截图 。 
阐述 遇 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 
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5.5 VPN 虚拟 专用 网 实验 


实验 器 材 


PC(Windows 2000 Server) ,1 台 。 
PC( Windows 2000/Windows XP).1 4. 


预习 要 求 


COD 了 解 VPN 的 工作 原理 。 
(2) 了 解 VPN 的 使 用 环境 。 


实验 任务 


掌握 虚拟 专用 网 的 实现 原理 .协议 和 结构 ,理解 并 掌握 在 Windows 操作 系统 中 利用 
PPTP( 点 对 点 隧道 协议 ) 和 IPSec IP 协议 安全 协议 ) 配 置 VPN 网 络 的 方法 ,以 及 在 Linux 
操作 系统 中 利用 CIPE 组 建 VPN 的 步骤 ,并 进一步 熟悉 硬件 VPN 的 配置 。 


多 台 安 装 了 Windows 2000 Professional 或 Windows XP Professional 计算 机 ,一 台 


装 了 Windows 2000 Server 操作 系统 的 计算 机 ,以 及 多 台 安 装 了 Red Hat Linux 9.0 计算 
机 ,所 有 计算 机 均 联 网 。 
预备 知识 


(1) VPN 的 类 型 。 
(2) VPN 的 协议 。 


实验 步 又 


1. Windows 操作 系统 中 利用 PPTP 配置 VPN 网 络 

1) 配置 VPN 服务 器 

(1) 首先 配置 VPN 的 服务 器 端 。 在 Windows 2000 Server 中 选择 “开始 ”一 “程序 ”一 
“管理 工具 ”, 单 击 “ 路 由 和 远程 访问 ”, 弹 出 如 图 5.5. 1 所 示 的 界面 。 右 击 右 侧 对 话 框 中 的 服 
务 器 名 ,在 弹出 的 快捷 菜单 中 选择 “配置 并 启用 路 由 和 远程 访问 ”, 会 出 现 路 由 和 远程 服务 向 
导 , 单 击 “ 下 一 步 ”按钮 。 

(2) 如 图 5. 5.2 所 示 , 在 路 由 和 远程 服务 向 导 中 ,选中 “虚拟 专用 网 络 (VPN) 服 务 器 ” 单 
选 按钮 , 单 击 “ 下 一 步 ” 按 钮 。 

(3) 如 图 5. 5. 3 所 示 , 在 VPN 访问 所 需 协 议 对 话 框 中 选择 或 添加 VPN 访问 所 需 的 协 
议 ,如果 所 要 求 的 协议 已 经 存在 , 则 单 击 “ 下 一 步 ” 按 钮 ,这 里 要 求 必须 有 TCP/IP 协议 。 


s qus. 


路 由 和 远程 访问 


551 路 由 和 远程 访问 界面 


路 由 和 远程 访问 最 务 器 安装 向 导 


公共 设置 
您 可 以 从 一 些 公共 配置 中 选择 。 


图 552 路 由 和 远程 服务 向 导 


» 174 + 


路 由 和 运程 访问 服务 器 安装 身 导 


远程 客户 协议 
此 服务 器 上 必须 有 VPN 访问 所 需 的 协议 。 


553 VFN 访 问 所 需 协 议 


(4) 接着 系统 要 对 客户 端 进行 配置 ,采用 默认 值 , 单 击 * 下 一 步 ? 按 钮 。 下 面 要 求 选 择 
VPN 客户 端 连接 此 VPN 服务 器 时 通过 VPN 服务 器 的 哪 块 网 卡 进 行 网 络 连接 。 如 图 5.5.4 
Bros ,选中 指定 的 网 络 连接 , 单 击 “ 下 一 步 ? 按 钮 。 接 着 弹出 的 窗口 为 VPN 客户 端 指定 到 想 
要 使 用 的 网 络 ,如 图 5. 5. 5 所 示 。 


路 由 和 远程 访问 服务 器 安装 向 导 


pe 


Inter: ER 
infe VPN 客户 和 路 由 器 使 用 一 个 单一 连接 通过 Internet 访问 此 服务 器 。 DE 


GL internet 连接 > 
本 地 连接 Realtek RTL8139 (A... — 192.168.2.5 
Marvell Yukon 88E... 169. 254. 203. 
D-Link DGE-530 "u 1 


图 554 连接 VN 服 务 器 采用 的 网 络 连接 


(5) 单 击 “ 下 一 步 ” 按 钮 ,在 选择 客户 端 IP 地址 分 配方 式 的 界面 中 ,选择 指定 客户 端 
的 IP 地 址 范围 ,如 图 5. 5. 6 所 示 , 单 击 “ 下 一 步 ”按钮 ,指定 一 个 VPN 客户 端的 IP 地址 
范围 。 
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路 由 和 运程 访问 服务 器 安装 向 导 


网 络 选择 
您 可 以 将 远程 VEN 客户 指定 到 想 让 他 们 使 用 的 网 络 上 。 


图 556 分 配 远程 客户 端 IP 地 址 


(6) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 是 否 使 用 RADIUS 服务 器 管理 所 有 远程 访问 服务 器 
的 界面 中 ,采用 如 图 5. 5.7 所 示 的 默认 值 , 单 击 “ 下 一 步 * 按 钮 , 单 击 “ 完 成 ”按钮 ,就 完成 
VPN 服务 器 的 配置 。 

(7) 下 面 对 VPN 服务 器 端的 VPN 端口 进行 配置 ,在 Windows 2000 Server 中 选择 “ 开 
始 ” 一 “程序 ”一 “管理 工具 ”, 打 开 * 路 由 和 远程 访问 ” 树 形 列表 ,选择 “端口 ”, 会 显示 出 配置 过 
的 端口 ,如 图 5. 5. 8 所 示 ,此 时 由 于 未 建立 PPTP 的 VPN 连接 ,所 以 端口 状态 都 是 “不 活 
动 ?状态 。 远 程 访问 记录 中 也 没有 显示 有 远程 访问 连接 。 
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路 由 和 运程 访问 最 务 器 安装 身 导 


管理 多 个 远程 访问 服务 器 
您 可 以 集中 管理 所 有 的 远程 访问 服务 器 。 


路 由 接口 
远程 访问 客户 端 (0) 


AppleTak 路 由 
路 由 选择 


WAN 微型 端口 (PPTP) (WPNS-... 


WAN 微型 端口 (PPTP) (YPN3- 

WAN 微型 端口 (PPTP) (VPN3-... 
WAN 微型 端口 (PPTP) (VPN3-... 
WAN 微型 端口 (PPTP) (VPNS-... 
WAN 微型 端口 (PPTP) (VPN3-... 
WAN 微型 端口 (PPTP) (VPN3-... 
WAN 微型 端口 (PPTP) (VPN3-... 
WAN 微型 端口 (PPTP) (VPN3-... 
WAN 微型 端口 (PPTP) (VPN3-.... 
WAN 微型 端口 (PPTP) (VPN3-9) 
WAN 微型 端口 (PPTP) (YPN3-…， 
WAN 微型 端口 (PPTP) (YPN3-... 
WAN 微型 端口 (PPTP) (VPN3-... 
WAN 微型 端口 (PPTP) (YPN3-，， 
WAN 微型 端口 (PPTP) (VPN3-... 
WAN 微型 端口 (PPTP) (VPN3-… 


WAN 微型 端口 (PPTP) (YPN3-,，， 
27 At MFA] YooTDYYVDN3- 


eee 


图 558 路 由 和 远程 访问 界面 


(8) 右 击 “端口 ”, 在 快捷 菜单 中 选择 “属性 ”命令 ,可 以 配置 端口 使 用 的 VPN 协议 ,默认 
设置 是 首先 使 用 PPTP 协议 ,然后 再 考虑 L2TP 协议 ,如 图 5. 5.9 所 示 。 

(9) 选择 一 个 设备 ,例如 PPTP, 单 击 “ 配 置 ”按钮 。 选 中 “远程 访问 连接 ” 则 可 以 启动 这 
个 设备 ,选中 “请 求 拨号 路 由 选择 连接 ” 则 可 以 启动 这 个 设备 的 路 由 功能 ,在 “最 多 端口 数 ” 中 
可 以 写 人 VPN 连接 同时 打开 的 连接 数 , 如 图 5. 5. 10 所 示 。 单 击 “ 确 定 ” 按 钮 ,就 完成 了 


VPN 端口 配置 。 


(10) 下 面 为 VPN 服务 器 中 的 系统 用 户 开 放 人 允许 挨 入 的 权限 。 依 次 选择 “程序 ”>“ 管 
38 TAL” >“ Active Directory 用 户 和 计算 机 ”, 在 如 图 5. 5. 11 所 示 的 窗口 中 打开 域名 ,在 User 


E * 


图 559 VPN 端口 属性 图 5510 设备 属性 配置 


栏 中 找到 允许 拨 入 的 用 户 ,例如 Administrator. fiit ,选择 “属性 ”命令 ,在 如 图 5. 5.12 所 示 
AY“ Administrator 属性 ”窗口 中 选择 “ 拨 入 ”选项 卡 ,选中 “允许 访问 ”, 以 允许 客户 端 以 
Administrator 用 户 的 身份 氢 入 VPN 服务 器 。 


用 上 a 
图 5511 打开 活动 目录 中 用 户 的 属性 


2) 配置 VPN 客户 端 
(1) 在 Windows XP( 也 可 在 Windows 2000 等 系统 中 配置 客户 端 ) 中 选择 “控制 面板 ” 
中 的 “网 络 连 接 ”, 进 入 “新 建 连接 向 导 ” 界 面 , 单 击 “ 下 一 步 ”按钮 ,选择 “连接 到 我 的 工作 场所 
的 网 络 ”, 如 图 5.5.13 所 示 , 单 击 “ 下 一 步 ” 按 钮 。 
(2) 在 创建 的 网 络 连 接 界 面 中 ,选择 “虚拟 专用 网 络 连接 ”, 单 击 “ 下 一 步 ” 按 钮 ,如 
图 5. 5. 14 所 示 。 
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EET 
Sa | 地 址 | 帐户 ”| 配置 文件 | 电话 | 单位 | MART | 
DA | 环境 | 会 话 | 远程 控制 | 终端 服务 配置 文件 | 
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Emen 

C FERO 

C 由 呼叫 方 设置 (公路 由 和 远程 访问 服务 ) (8) 

C 总 是 加 找到 QD): 


T- ROBES IP 地 址 (@) | sal 


a 


为 此 拔 入 连接 定义 要 启用 的 路 由 。 SEIS) | 


551? 设置 允许 拨 入 权限 


新 建 连接 向 导 


网 络 连接 类 型 E 
您 想 做 什么 ? 


〇 连接 到 Internet (C) 
连接 到 Internet， 这 样 您 就 可 以 浏览 web 或 阅读 电子 邮件 。 


ORRA — 
连接 到 一 个 商业 网 络 
方 办 公 。 


〇 设置 家 庭 或 小 型 办 公 网 络 S) 
连接 到 一 个 现 有 的 家 庭 或 小 型 办 公 网 络 ， 或 者 设置 一 个 新 的 。 


〇 设置 高 级 连接 ©) 


用 并 口 ， 串 口 或 红外 端口 直接 连接 到 其 它 计 算 机 ,或 设置 此 计算 机 使 其 它 
计算 机 能 与 它 连 接 。 


[上 -和 步 @) 


5513 网 络 连接 类 型 


新 建 连接 向 导 


网 络 连 接 
您 想 要 在 工作 点 如 何 与 网 络 连接 ? 


BETA: 


口技 号 连接 @) 
Bisnes ,或 通过 综合 业务 数字 网 SIM RERE 


ORE ERES 
使 


通过 Internet 连接 到 网 络 。 hs 


(FF o>) [ mi 


A554 网 络 连接 界面 
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(3) 在 弹出 的 连接 名 界面 中 ,输入 为 此 连接 起 的 名 字 , 然 后 单 击 “ 下 一 步 ” 按 钮 ,如 图 5. 5. 15 
所 示 。 


连接 名 
指定 连接 到 | 您 的 工作 场所 的 连接 名 称 。 


在 下 面 框 中 输入 此 连接 的 名 称 。 
公司 名 
例如 ， 您 可 以 输入 您 的 工作 地 点 名 或 您 连接 到 的 服务 器 名 。 


<t- ®)F-F @ >] 取消 


图 5515 连接 名 界面 


(4) 单 击 “下 一 步 ? 按 钮 ,弹出 的 窗口 需 设 置 是 否 预 氢 初始 连接 ,以 确认 公用 网 络 是 否 连 
接 好 ,选择 “不 拨 初 始 连 接 ”, 单 击 “ 下 一 步 ” 按 钮 ,此 窗口 要 求 输入 VPN 服务 器 端的 IP 地 址 
或 者 主机 名 ,如 图 5.5.16 所 示 。 


PRERMS 


WE 服务 器 选择 
VEN 服务 器 的 名 称 或 地 址 是 什么 ? 


输入 您 正 连接 的 计算 机 的 主机 名 或 IF 地 址 。 


主机 名 或 IP 地 址 PMD, microsoft. com 或 157.54.0.1) 0D: 
192. 168.1.2 


< £-# ®) |[F=7 a» >) 取消 


图 5516 VFN 服务器 端的 设置 


(5) 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 图 5. 5. 17 所 示 的 完成 界面 ,选中 创建 快捷 方式 的 复 选 

框 , 单 击 “ 完 成 ”按钮 。 
(6) 选择 开始” 设置 ”网 络 连接 ”命令 ,可 以 看 到 新 建立 的 vpnclient 连接 ,打开 
个 vpnclient 连接 , 则 弹出 如 图 5. 5. 18 所 示 的 界面 ,输入 用 户 名 和 密码 即 可 发 起 VPN 的 
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新 建 连接 向 导 
连接 vpnclient 


正在 完成 新 建 连接 向 导 


您 已 成 功 完成 创建 下 列 连 接 需 要 的 步骤 


vpnclient 
+ 与 此 计算 机 上 的 所 有 用 户 共享 


APS Ww: 
E: | 


此 连接 将 被 存 信 “网 络 连接 ”文件 来 。 


Me Reso Le MTSU SAAR O 


为 下 面 用 户 保存 用 户 名 和 密码 (8): 


要 创建 此 连接 并 关闭 向 导 ， 单 击 “ 完 成 ”。 只 是 我 四 
任何 使 用 此 计算 机 的 人 A) 


kio l sz jJ mes ] 连接 CC) ] [ me | Cato") | mo 


图 5517 完成 界面 图 5518 连接 界面 


CD 对 VPN 客户 端的 连接 属性 进行 配置 ,可 以 单 击 图 5. 5. 18 中 的 “属性 ”按钮 ,在 弹出 
的 属性 配置 窗口 ( 见 图 5. 5. 19) 中 选择 “安全 ”选项 卡 ,可 以 选中 “高 级 ” 单 选 按钮 , 单 击 “ 设 
置 ?按钮 ,进一步 配置 VPN 采用 的 加 密 方式 和 身份 认证 协议 ,如 图 5. 5. 20 所 示 。 


* vpnclient 属性 


am [wm | 安全 [网 络 [高 级 | AHEMEN: 


安全 选项 FEMS “Go0 果 服务 器 拒绝 将 断 开 这 接 ) 
4 y 
O RH 推荐 设置 ) W BREESE 


验证 我 的 身份 为 V) 
〇 使 用 可 扩展 的 身份 验证 协议 EAP) (E) 


自动 使 用 我 的 Windows 灌录 名 和 密码 ORI, 10 
Rania) QD 

要 求 数据 加 密 没有 就 断 开 ) © ORREN O 

口 不 加 密 的 密码 pAP) Ww 

口 shiva 密码 身份 验证 协议 SPAP) (S) 


OBR BEE) G) 
要 使 用 这 些 设置 需要 有 安全 协议 的 知识 。 CETPUCDPTSONUEDS 


v]Microsoft CHAP (MS-CHAP) Q) 
允许 为 Windows95 服务 器 使 用 旧版 NS-CHAP QU) 


IPSec RE Œ) Microsoft CHAP 版 本 2 (MS-CHAP v2) (I) 


HÆF MS-CHAP 的 协议 ， 自 动 使 用 我 的 Windows 登录 名 和 密码 
Geet, RAAT) Œ) 


图 5519 属性 配置 窗口 图 5520 高 级 安全 属性 的 设置 


3) 建立 VPN 连接 

(1) 建立 VPN 连接 前 ,在 客户 端 查看 目前 网 络 连接 的 配置 情况 ,如 图 5.5.21 所 示 。 可 
以 看 出 ,目前 只 有 一 个 IP 地 址 为 192. 168. 1. 5 的 本 地 连接 。 

(2) 在 图 5. 5.18 所 示 的 客户 端 连 接 界面 中 输入 用 户 名 administrator 和 密码 ,建立 和 
VPN 服务 器 的 连接 ,可 以 看 到 如 图 5.5. 22 所 示 的 连接 状态 窗口 。 

(3) 成 功 建立 起 VPN 客户 端 和 服务 器 端的 连接 后 ,再 查看 VPN 客户 端 网 络 连接 状况 
时 可 以 看 到 新 增 了 一 个 vpnclient 网 络 连 接 ,IP 地 址 为 192. 168. 2. 2 ,如 图 5. 5. 23 所 示 。 
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pconf ig 


IP 


Subnet 


Default Gateway 


Tunnel adapter Teredo Tunneling Pseudo-Interface 


Qu, f E e88::5445 :5245:444£75 
Default 


C:\Documents and Settings\chj> 


图 5521 建立 VN 网 络 连接 前 的 网 络 连接 


正在 连接 vpnclient... 
Fi 连接 到 192.168.1.2. 


取消 


5520 建立 VN 连 接 时 的 连接 状态 窗口 


Ethernet adapter $ 


- : fe88::5445 


C:\Documents and Settings \« 


9553 建立 VFN 连接 后 的 网 络 连 接 状 况 


从 图 5.5. 24 中 的 连接 端口 状态 可 以 看 出 VPN 客户 端 和 VPN 服务 器 的 1723 端口 建 
立 了 连接 。 

(D 在 VPN 的 服务 器 端 ,没有 建立 VPN 连接 的 网 络 连 接 如 图 5.5.25 所 示 。 建 立 
VPN 连接 后 ,可 以 在 图 5.5. 26 中 看 到 已 经 建立 了 一 个 RAS(Remote Access Server) H iR 
入 网 络 连接 ,IP 地 址 为 192. 168. 2. 1。 

(5) 打开 “路 由 和 远程 访问 ”窗口 ,和 
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mg 


jail 


“端口 ”, 可 以 看 到 一 个 WAN 微型 端口 的 状态 已 


(NDOWSVsysten32Vcnd. exe 


Documents and SettingsNcbj?netstat -aon 
active Connections 


Proto Local Addr 

TCP — 8.8. 

TCP 

TCP : 

TCP 2 LISTENING 
TCP i LISTENING 
ICP 39 E LISTENING 
TCP 192.16! 4 ESTABLISHED 
TCP — 192.168.2.2:139 - LISTENING 
TCP [c a LISTENING 
UDP — 8.8.8.8: 

UDP — 8.8.80. 

UDP — 8.8.0. 

UDP — 8.8.8. 

UDP — 8.8.0. 

UDP — 8.8.8.0:4500 

UDP 127.0.0.1:123 

UDP 127.0.0.1:1048 

UDP 127.0.0.1:1900 


妈 5524 连接 端口 状态 


yystem32cmd.exe 


\Documents and Settings \Administrator>ipconf ig 


Windows 2888 IP Configuration 


Ethernet adapter $ 

Connect ion-specif ic Suffix 

IP Address. . - - 

Subnet Mask . - 

Default Gateway 

iet adapte 

Media State : Cable Disconnected 
Ethernet adapter 

Connection-specific 

IP Address 

ubnet Mas - 5. 


Default Gat y : : 192 


Documents and Settings \Administrator>ipconf ig 


图 5525 建立 VRN 连 接 前 的 网 络 连接 状 ; 


Documents and Settings Administrator>ipconf ig 


Windows 2888 IP Cc 


Ethernet adapter 


Connect ion-specif ic DNS 
IP Addr 

Subnet Mas 

Default Gateway 


Ethernet adapter 
Media State 

Ethernet adapter 
Connection-specific DN! 
IP Addy 


Subnet Mask 
Default Gate 


PPP adapter RAS Server (Dial In) Interfac 


Connection-sp 
IP fiddress. 
Subnet Ma 
Default 


\Docunents and t Administrator) 


E 5526 建立 VRN 连 接 前 的 网 络 连接 状 ; 
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经 成 为 “活动 ”状态 ,如 图 5.5.27 所 示 。 此 时 ,“ 远 程 访问 客户 端 "后 面 有 一 个 “(1)”, 代 表 已 
经 有 一 个 VPN 客户 端 连接 到 了 VPN 服务 器 。 


直接 并 行 (PTI) 


WAN #3200 (PPTP) (VPN3-372) 
WAN ERIR (PPTP) (VPN3-371) 


'WAN BERIANI (PPTP) (VPN3-342) 
WAN RII (PPTP) (vPN3-341) 
WAN #8317802 (PPTP) (VPN3-340) 
WAN IRHELRRC (PPTP) (VPN3-339) 
WAN IBHELRRCI (PPTP) (VPN3-338) 


5527 WAN 微 型 端口 的 状态 


查看 此 端口 的 状态 ,如 图 5. 5. 28 所 示 , 可 以 看 到 VPN 客户 端 和 服务 器 端 之 间 传 输 的 
字 节 数 、 连 接 的 时 间 和 客户 端的 IP. 等 信息 。 


2. 在 Windows 中 配置 IPSec 
1) 配置 Windows WEN IPSec 安全 策略 
(1) 在 Windows 中 内 置 了 IPSec 安全 策略 。 下 面 以 Windows XP 为 例 介 绍 ,Windows 
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2000 与 其 类 似 。 选 择 “ 开 始 ” 一 程序 ”一 “管理 工具 ”, 进 入 “本 地 安全 策略 ”, 如 图 5.5. 29 所 
示 。 在 右 侧 界面 中 ,Windows 默认 情况 下 内 置 了 “安全 服务 器 ”“ 客 户 端 "和 “服务 器 ”3 个 安 
全 选项 ,每 一 项 的 含义 菜单 中 都 有 解释 。 


FO REO SEV MBO 


对 所 有 IP 通讯 总 是 使 用 Kerberos 信任 请 求 再 
总 客户 端 CURED) 正常 通讯 (不 安全 的 )。 使 用 默认 的 响应 规则 与 . 否 
ARSE GRRL) 对 所 有 IP 通讯 总 是 使 用 Kerberos 信任 请 求 . 否 


oO 用 户 权利 指派 
C9 安全 选项 
pimp 
由 -加 软件 限制 策略 
m rp 安全 策略 ， 在 本 地 计算 机 


5529 IP 安 全 策略 界面 


(2) 右 击 “ 安 全 服务 器 ”, 在 快捷 菜单 中 选择 “指派 ”命令 , 则 图 5. 5. 29 中 右 侧 “ 策 略 已 指 
派 ” 中 的 选项 将 由 “ 否 ” 变 为 “是 ”, 这 样 将 此 计算 机 设置 为 “安全 服务 器 ”。 双 击 “ 安 全 服务 
器 ”, 弹 出 如 图 5. 5. 30 所 示 的 菜单 。 在 菜单 中 显示 了 3 条 IP. 安全 规则 ,分别 是 “所 有 IP 通 
讯 量 "“ 所 有 ICMP 通讯 量 ” 和 "到 动态 之”, 每 一 条 IP 安全 规则 中 由 “IP 筛选 器 列表 ”“ 筛 
选 器 操作 >“ 身份 验证 方法 ”“ 隧 道 设置 ?和 "连接 类 型 ”5 项 构成 。 
安全 服务 器 (需要 安全 ) 属性 
规则 | 常规 | 


aim MAEHE 


IP REMMI): 


默认 响应 Kerberos 


< I | di 
mmo... | emo... | mew |v 使 用 "Em" w 
Ex] 取消 (emo 
图 5530 安全 服务 器 属性 菜单 
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(3) 选中 “所 有 ICMP 通讯 量 ”, 单 击 “ 编 辑 ” 按 钮 ,就 可 以 对 “所 有 ICMP 通讯 量 ” 这 个 IP 
安全 规则 进行 编辑 。 弹 出 图 5. 5. 31 所 示 菜 单 ,打开 “筛选 器 操作 ”菜单 ,选中 “需要 安全 ”, 就 
将 “所 有 ICMP 通讯 量 ” 这 个 IP. 安全 规则 设置 为 必须 建立 安全 的 连接 。 打 开 “ 身 份 认证 方 
法 ”, 单 击 “ 添 加 ”按钮 , 则 弹出 图 5. 5. 32 所 示 的 菜单 。 在 这 个 菜单 中 指定 了 三 种 身份 认证 方 
法 ,选择 “ 预 共 享 密 钥 ”的 方法 ,设置 共享 密 钥 111, 单 击 “ 确 定 ” 按 钮 。 对 图 5. 5. 30 中 的 “所 
有 IP 通讯 量 ” 做 同样 的 配置 。 


编辑 规则 属性 (2 |x] 新 身份 验证 方法 属性 
IP ERAR MERRIE | 身份 验证 方法 | 隆 道 设置 | 连接 类 型 | 身份 验证 方法 | 


选择 的 第 选 器 操作 指定 了 此 规则 是 天 协商 及 如 何 来 保证 3 份 验证 方法 指定 了 计算 机 间 如 何 建立 信任 。 
es ene 定 身份 验证 方法 指定 了 计算 机 间 如 何 建立 信任 


请 下 器 操 作 QD: 
Ei | 描述 a C Active Directory 默认 值 Kerberos V5 协议 ) M) 
ORE GI) 接受 不 安全 的 通讯 ,但 是 请 求 C 使 用 由 此 证 书 颁 发 机 构 CA) 颁发 的 证 书 O: 


接受 不 安全 的 通讯 ,但 总 是 请 = 
KUALA IP 包 经 过 。 |. MEG 


C 使 用 此 字符 审 GAS HA) (5) 
mmi 


AMD)... | 5380... 删除 D Iv eA “meas” w 


取消 应 用 中) 
图 5531 编辑 第 选 器 操作 A552 确定 身份 验证 方法 


(4) 同时 ,在 另外 一 台 Windows XP 计算 机 中 也 做 与 上 面 同样 的 配置 ,然后 从 一 台 计 算 
机 用 ping 命令 panes 者 之 间 的 连接 ,显示 如 图 5.5. 33 所 示 的 状态 。 这 说 明 , 通 过 上 面 的 配 
置 , 两 台 计 算 机 在 建立 安全 的 IPSec 连接 之 前 ,首先 对 IP 安全 规则 的 SA 进行 协商 ,显示 
Negotiating IP Security, 以 协商 建立 相互 通信 时 共享 的 安全 参数 及 验证 的 密 钥 。 协 商 完成 
后 ,可 以 看 出 两 台 计 算 机 处 于 连通 状态 


ocuments 


图 5533 IPSec 连接 状态 
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(5) 在 “开始 ”一 运行 ”中 输入 命令 ipseemon. 9f tH. IPSec 的 安全 监视 器 界面 ,如 图 5. 5. 34 
所 示 , 显 示 了 相关 的 详细 属性 


安全 关联 : 


-| 安全 设置 | 
允许 . ESP Triple DES HMAC SHAL ICMP lixiang CZ zew | 


IPSEC 统计 ISARMP/Oskley 统计 

活动 关联 1 0akley 主 模式 6 
发 送 的 保密 宇 节 1,996 Oakley 快速 模式 6 
接收 的 保密 字 节 2,314 软 关 联 0 
发 送 的 身份 验证 字 节 3,168 验证 失败 0 
接收 的 身份 验证 字 节 3, 456 

损坏 的 SPI 包 0 

未 解密 的 包 0 

未 验证 的 包 0 

附加 密 钥 6 IP 安全 设置 已 在 这 台 计 算 机 上 启用 。 


图 5534 IP 安 全 监视 器 界面 


2) 配置 专用 的 IPSec 安全 策略 
(1) 除了 利用 Windows 内 置 的 IPSec 安全 策略 外 ,还 可 以 自己 定制 专用 的 IPSec 安全 


策略 。 右 击 图 5. 5. 29 中 “IP 安全 策略 ,在 本 地 计算 机 ”, 在 快捷 菜单 中 选择 “创建 IP 安全 策 
略 ” 命 令 , 则 弹出 如 图 5. 5. 35 所 示 的 TP. 安全 策略 向 导 界 面 。 单 击 “ 下 一 步 ” 按 钮 ,要 求 输 入 


新 IP 安全 策略 的 名 称 和 描述 ,再 单 击 “ 下 一 步 ” 按 钮 ,弹出 安全 通讯 请 求 ,清除 “激活 默认 响 
应 规则 ” 复 选 框 的 勾 选 ,最 后 就 到 了 “完成 IP 规则 向 导 ”, 选 中 “编辑 属性 ” 复 选 框 后 单 击 “ 完 
成 ”按钮 ,如 图 5. 5. 36 所 示 。 


IP 安全 策略 向 导 


> 欢迎 使 用 “IF 安全 策略 向 导 ”。 
F 此 向 导 帮 助 您 包 | 建 IP 安全 策略 。 您 将 指定 对 于 特定 的 


IP 通讯 类 型 ， 和 特定 计算 机 或 计算 机 组 ( 子 网 ) 通 讯 时 
使 用 的 安全 级 别 。 


要 继续 ,请 单 击 “ 下 一 步 ”。 


图 5535 IP 安 全 策略 向 导 
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ip 安全 策略 向 导 


一 正在 完成 IP 安全 策略 向 导 
a 您 已 成 功 地 完成 指定 您 的 新 IP 安全 策略 的 尾 性 。 


要 立即 编辑 你 的 P RERE, MER RERE” Ot 
fid AR” « 


后 


M were D 


请 按 “ 完 成 ”来 关闭 此 向 导 。 


图 5535 完成 PP 安全 策略 向 导 


(2) 由 于 在 图 5.5.36 中 选择 了 “编辑 属性 ”, 下面 会 出 现 属性 的 编辑 窗口 ,如 图 5. 5. 37 
所 示 , 单 击 “ 添 加 ”按钮 。 


新 IP 安全 策略 属性 


CAI [xx | 


2a 和 其 它 计算 机 通讯 的 安全 规则 


IP REAN: 
HET Ld 第 选 器 操作 身份 验证 方法 


Kerberos 无 


| > 


Iv SB “amas” QD 


取消 


图 5537 IP 安 全 策略 的 属性 窗口 


(3) 弹出 创建 IP 安全 规则 向 导 对 话 框 ,如 图 5. 5. 38 所 示 , 单 击 “ 下 一 步 ”按钮 ,会 依次 
设置 以 下 各 项 : 隧道 终结 点 ,如 图 5. 5. 39 所 示 ; 网 络 类 型 ,如 图 5. 5. 40 所 示 ; 身 份 验 证 方 
法 ,如 图 5. 5. 41 所 示 , 此 处 选择 采用 预 共 享 密 钥 的 方式 进行 身份 认证 ,设置 一 个 简单 的 密 钥 
111, 单 击 “ 下 一 步 ” 按 钮 。 

(4) 下 面 进入 IP 筛选 器 列表 的 配置 项 ,如 图 5. 5. 42 所 示 ,在 该 项 里 设置 哪些 地 址 和 网 
络 协议 的 数据 包 使 用 IPSec 安全 连接 。 单 击 “ 添 加 ”按钮 ,就 可 以 设置 一 个 新 的 IP 筛选 器 列 
ART. 
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安全 规则 向 导 


欢迎 使 用 “创建 IP 安全 规则 向 导 ”。 
e 安全 规则 根据 条 件 20 IP 第 选 器 列表 中 的 源 、 目 标 、 
Ir 通信 类 型 灯 决 定 启动 安全 的 方式 和 时 间 。 


安全 规则 包含 安全 操作 的 集合 ， 当 通讯 与 IP 筛选 器 列 
RPR LA o SEDERE. 


IP 隆 道 操作 属性 
身份 验证 方法 
季 丢 器 操作 


要 继续 ,请 单 击 “ 下 一 步 ”。 


图 5538 创建 IP 安全 规则 向 导 


隆 道 终结 点 " 
MiES4 SSRI IP 通讯 目标 的 隆 道 操作 计算 机 ， 正 如 安全 规则 的 IP 
第 选 器 列表 所 指定 的 。 -_ 


IPSec 隧道 多 许 数据 包 在 两 台 计算 机 间 以 直接 的 专用 连接 的 安全 级 别 ， 通 过 公 
用 或 专用 网 络 。 


指定 IP 安全 规则 的 隆 道 终结 点 
C ASERNE (D. 
此 IP 地 址 指定 CD 


0 0 


《< 上 一 步 @@) 取消 | 


B] 553) 隧道 终结 点 


安全 规则 向 导 
网 络 类 型 
安全 规则 必须 应 用 到 一 种 网 络 类 型 。 
选择 网 络 类 型 
c rahe 
c 
C 远程 访问 BR) 


《上 一 步 中 取消 


图 5540 ”网络 类 型 
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BREDA 
要 添加 多 身份 验证 方式 ， 请 在 完成 P 安全 规则 向 导 之 后 请 编辑 安全 规则 。 


为 此 安全 规则 设置 初始 身份 验证 方法 : 
C Active Directory 默认 值 Kerberos V5 协议 ) @) 
C 使 用 由 此 证 书 颁 发 机 构 (CA) 颁发 的 证 书 (C): 


111 


《< 上- 步 加 取消 


图 5541 身份 验证 方法 


IP Hie BAR 
请 为 采用 这 个 安全 规则 的 IP 通讯 类 型 选择 IP MERR. 


如 果 下 面 没有 符合 您 需要 的 IP 第 选 器 ， 请 单 击 “ 添 加 ”来 创建 新 的 。 


IP 第 选 器 列表 D: 
名 称 [35 ] mw. | 


ke] 所 有 ICWP 通讯 量 匹配 该 计算 机 与 任何 其 地 
OFA I BRE XT a z 
RY 


《 上 - 步 四 取消 


图 5549 IP 筛 选 器 列表 设置 


在 图 5. 5.42 中 , 单 击 “添加 ?按钮 ,弹出 如 图 5. 5.43 所 示 的 IP. 筛选 器 列表 ,此 时 列表 为 
空 , 单 击 “添加 ”按钮 ,在 IP 筛选 器 列表 中 添加 一 个 IP 筛选 器 。 


MIP SAGEM 


IP i 。 :多 个 子 网 .、 IP ù 
pP Era aial 这 样 ， 多 个 子 网 、IF 地 址 和 协议 可 被 


Bn... 


Iv 使 用 “添加 向 导 ” Ww 
通讯 协议 E] 目标 端口 


图 5543 IP 筛 选 器 列表 对 话 框 
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下 面 出 现 的 界面 首先 定义 这 个 IP 筛选 器 所 筛选 的 IP 数据 包 的 源 IP 地 址 ,如 图 5. 5. 44 
所 示 , 源 地 址 有 多 个 选项 ,这 里 将 “我 的 TP 地 址 ?作为 源 地 址 , 单 击 “下 一 步 ? 按 钮 。 


IP 通信 源 
指定 IP 通讯 的 源 地 址 。 


源 地 址 S) : 
= 


ETT EE) 


图 5544 源 地 址 设置 


下 面 的 界面 定义 目标 地 址 ,如 图 5.5. 45 所 示 ,选择 "任何 IP 地 址 ”, 单 击 “ 下 一 步 ?按钮 。 
IP 通信 和 目标 
指定 IP 通讯 的 目的 地 址 。 


目标 地 址 0): 
TEEDE TEANO 


《上 一 步 @) 取消 


图 5545 目标 地 址 设置 


接着 定义 IP 筛选 器 所 过 滤 的 协议 ,如 图 5. 5. 46 所 示 。 这 里 不 针对 专 有 协议 ,在 “选择 
协议 类 型 "中 选择 “任意 ”, 单 击 “ 下 一 步 ” 按 钮 , 则 完成 IP 筛选 器 的 编辑 ,如 图 5. 5. 47 所 示 。 

(5) 完成 “新 TP 筛选 器 列表 ”的 建立 后 的 IP. 筛选 器 列表 如 图 5. 5. 48 Bron , 单 击 “下 一 
Ab HEAL 

下 面 编辑 这 个 筛选 器 列表 的 操作 ,筛选 器 列表 的 操作 ”是 指 当 有 IP 数据 包 符合 筛选 器 
中 定义 的 条 件 时 ,IPSec 对 符合 条 件 的 数据 包 如 何 处 理 , 如 何 操作 。 在 弹出 的 图 5. 5. 49 中 
添加 一 条 筛选 器 操作 , 单 击 添加 ”按钮 ,会 出 现 IP 筛选 器 操作 向 导 , 单 击 “下 一 步 ? 按 钮 。 

接着 ,在 图 5. 5. 50 所 示 的 界面 中 填 人 筛选 器 操作 的 名 称 和 描述 , 单 击 “ 下 一 步 ? 按 钮 。 

下 面 弹出 的 是 筛选 器 操作 常规 选项 , 即 对 于 符合 筛选 器 列表 中 定义 的 数据 包 将 如 何 处 
理 ,如 图 5. 5. 51 所 示 , 选 中 “协商 安全 ” 单 选 按钮 ,让 其 进行 IPSec 安全 协商 , 单 击 “ 下 一 步 ” 
按钮 。 
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SERAS 回回 


TP 协议 类 型 E 
al IP 协议 类 别 。 如 果 类 别 是 TCP 或 UDP ,您 将 同时 指定 源 和 目标 端 
LI p 


选择 协议 类 型 S): 
E2 
em — «e| 


《上 一 步 @) 取消 


图 5546 筛选 器 过 滤 的 协议 的 设置 


IP KARAF 
正在 完成 “IF 第 选 器 向 导 ” 


E 您 已 成 功 地 完成 IP MERGIS. 
= SUBMRHO IP UHR, UJ “RARE” PU 


p HeihkbrE QS 


请 按 “完成 ”来 关闭 此 向 导 。 


取消 
图 554 完成 IPS E SS ARR 


安全 规则 向 导 


IP WERAK 
请 为 采用 这 个 安全 规则 的 IP 通讯 类 型 选择 IF 第 选 器 表 。 


如 果 下 面 没有 符合 您 需要 的 IP 第 选 器 ， 请 单 击 “ 添 加 ”来 他 建新 的 。 


Ip 请 渤 器 列表 D: 
nw... | 

OBS icm ERE 匹配 该 计算 机 与 任何 其 他 = 

O 所 有 IF RE pasas emxa aO] 


[Oj 新 IP 筛选 器 列表 ms oo 


C5 取消 


图 5548 选择 IP 篇 选 器 列表 


安全 规则 向 导 


BEE 
请 为 这 个 安全 规则 选择 第 选 器 操作 。 


如 果 下 面 的 列表 中 没有 符合 您 需要 的 第 选 器 操作 ， 请 单 击 “ 添 加 ”人 也 建 一 个 新 
A. ie “GAMES” KOHE. 


第 选 器 操作 C): Iv 使 用 “添加 向 导 ”%) 
[s a) Eme. 


OikESR Mit) 接受 不 安全 的 通讯 ， 但 是 . 
加 需要 安全 接受 不 安全 的 通讯 ， 但 总 . . BO... 


允许 不 安全 的 IP mes 


<E 取消 


5549 添加 一 条 筛选 器 操作 


算 选 器 操作 向 导 
项 选 器 操作 名 称 
命名 这 个 第 选 器 操作 并 提供 一 个 简单 的 描述 。 


A QD: 
prsg 


《上 一 步 @) 取消 


图 5550 筛选 器 操作 名 称 


SERERE 


$E SER TEE IR 
设置 第 选 器 操作 的 行为 。 


个 许可 区) 
C EE 
c gus 


《 上 一 步 @) 取消 


图 5551 筛选 器 操作 常规 选项 
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如 图 5.5.52 所 示 ,选中 “不 和 不 支持 IPSec 的 计算 机 通讯 " 单 选 按钮 ,以 要 求 必 须 在 
IPSec 基础 上 进行 连接 , 单 击 “ 下 一 步 ” 按 钮 。 


与 不 支持 IPSee 的 计算 机 通讯 
与 计算 机 不 受 IFSec 支 持 的 通讯 可 能 会 将 您 的 网 络 面临 安全 风险 。 


您 想 允 许 和 不 支持 IPSec 的 计算 机 通讯 吗 ? 


如 果 您 的 网 络 上 有 不 支持 IPSec eae Lp 请 使 用 此 选项 。 和 不 支持 
IPSec 的 计算 机 通讯 会 使 您 的 网 络 有 | 


《上 一 步 @) 取消 


图 5552 不 与 不 支持 IPSec 的 计算 机 通讯 


下 面 决 定 在 通信 过 程 中 是 否 加 密 和 进行 完整 性 检验 ,如 图 5. 5. 53 Bros ,为 了 更 加 清楚 
其 中 采用 的 协议 ,选择 “ 自 定义 ”然后 单 击 “ 设 置 ” 按 钮 。 


IP 通信 安全 设施 
aa IP 重庆 是 个 安全 村 让。 要 添加 多 个 安全 措施 ， 在 完成 向 导 之 后 请 


此 第 选 器 操作 至 少 需要 一 个 IP 通信 的 安全 措施 。 


C 加 密 并 保持 完整 性 E) 
数据 会 被 加 密 、 验 证 并 且 不 被 修改 。 


C Reset CD 
数据 是 可 信 的 且 不 被 修改 ,但 不 会 被 加 密 。 


《上 一 步 四 [下 =- 步 四 >] mim 


图 5553 IP 通 信安 全 设施 


在 弹出 的 自 定义 安全 措施 设置 对 话 框 中 ， gpg 
可 以 看 到 AH 和 ESP 协议 的 不 同 功能 , 即 AH | e-uscvccmmom. 
协议 不 进行 加 密 , 而 ESP 可 进行 加 密 和 完整 性 | BB RURAR eR ww: 


检验 ,相关 算法 也 都 可 以 选择 ,如 图 5. 5. 54 所 ne 
示 , 单 击 “ 确 定 ” 按 钮 即 完成 了 IP 筛选 器 操作 E 0n de 
向 导 。 mH: 


(6) 第 选 器 操作 完成 后 ,下 面 可 以 看 到 新 | PE 


建立 的 筛选 器 操作 名 称 , 如 图 5. 5. 55 所 示 , |) eaman: 


击 “ 下 一 步 ” 按 钮 , 即 完成 了 新 增 IP 安全 规则 向 | hom ww 


导 的 设置 ,会 看 到 新 增加 的 安全 规则 ,包括 新 

IP 筛选 器 列表 和 新 筛选 器 操作 等 ,如 图 5. 5. 56 

所 示 。 A554 自 定义 安全 措施 设置 
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安全 规则 向 导 


选 器 操作 
请 为 这 个 安全 规则 选择 第 选 器 操作 。 


EUER DEL dL die 请 单 击 “ 添 加 ”创建 一 个 新 
. HERE “EAMES” KAREM MESE. 


TERREO: V eA “Mas” QD 
Ee eel mma... 
OiksE GE) 接受 不 安全 的 通讯 ,但 是 


© EEE 
加 需要 安全 接受 不 安全 的 通讯 ， BS... 
Oia 允许 不 安全 的 IP 包 经 过 。 mo 


< 上- 步 四 mis 


新 iP 安全 策略 属性 
规则 [xm | 


sis 和 其 它 计算 机 通讯 的 安全 规则 


IP 安全 规则 QD: 


IP 第 选 器 列表 第 选 器 操作 身份 验证 方法 | 隆 道 设 : 
回 新 ip 第 选 器 列表 新 第 选 器 操作 预先 共享 的 . . ， 无 
口 动态 > 默认 响应 Kerberos 无 


s | x 
编辑 于). . .| MeO |v eR “Smas” Ww 


取消 


图 5556 完成 新 增 IP 安 全 规则 


(7) 单 击 “ 关 闭 ” 按 钮 , 即 可 看 到 图 5. 5. 57 中 新 增加 的 一 条 IP 安全 策略 。 在 IPSec 通信 

的 两 端 都 进行 相关 配置 ,增加 自 定义 的 IP 安全 策略 , 即 可 实现 IPSec 安全 加 密 通信 。 

3. Linux 操作 系统 中 利用 CIPE 配置 VPN 

CIPE(Crypto IP Encapsulation) 是 一 种 主要 应 用 于 Linux 平台 的 软件 VPN。 它 利用 
UDP 报 文 封装 加 密 的 IP (1: 首先 采用 默认 的 blowfish 或 使 用 IDEA 加 密 机 制 对 IP 数据 
包 进 行 加 密 ,然后 再 封装 到 UDP 包 中 ,封装 的 UDP 数据 包 通 过 本 地 和 远 端 主机 之 间 建 立 
的 CIPE 虚拟 网 络 设备 的 连接 进行 安全 传输 。CIPE 可 以 被 配置 用 来 在 两 个 或 更 多 启用 了 
CIPE 的 Linux 计算 机 间 进 行 安全 通信 。 
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XQ) REQ SEV ew 


e€»|mxmUm*?iss uy 


安全 设置 ZH: HE FRC, 
s C9 帐户 第 略 俩 安全 服务 器 EERS) 对 所 有 IP 通讯 总 是 使 用 Kerberos AHRR g 
c C9 本 地 策略 AFPR dw) 正常 通讯 Fe). SARUM... S 
2 FERE falar IP 安全 策略 Li 
C9 用 户 权利 指派 RSE 铺 求 安全 ) 对 所 有 IP 通讯 总 是 使 用 Kerberos AHER... S 
8 C8 RSE 
由 -加 公 钥 第 略 


田 - 国 软件 限制 策略 
m rp 安全 策略 ,在 本 地 计算 机 


^ 
le 
区 


5557 新 增加 的 一 条 IP 安 全 策略 


Ej 


D 安装 CIPE( 若 计算 机 中 装 有 CIPE, BOE VPN 可 直接 跳 到 下 面 的 CIPE 服务 器 端的 


配置 ) 。 
CD 检查 系统 是 否 安装 了 CIPE 软件 包 : 


# mpm - q cipe 
如 果 显 示 含 有 cipe 的 结果 ,说 明 已 经 安装 了 CIPE。 


(2) 如 果 没 有 安装 ,需要 把 Red Hat 9. 0 的 第 2 张 安装 光盘 放 和 人 光驱 中 , 挂 载 光 盘 到 / 


mnt/cdrom 目录 下 : 
d mount: /dev/odrom /mt/odram 
进入 安装 文件 所 在 目录 : 
# od /rnt /odram/RedHat /RMES 
安装 CIPE 软件 包 : 


#rpm - ivh cipe- 1.4.5- 16.1386.rpm 
Preparing: {AEEA dE dE AE AE AE E AE AE AE AE AE AE AE A HE EH HH HE EE [1008 ] 
Licipe EAHA H AH H E HE AE AE A HE E EEE HH HH HE HF # [1008 ] 


DAE TE Ma A BOGE s 


# od / 
# umount: /mnt/odram 


2) CIPE 服务 器 端的 配置 


(1) 首先 配置 CIPE 的 服务 器 端 ,在 Red Hat Linux 的 Gnome 桌面 环境 中 ,打开 主 菜单 
中 的 “系统 配置 ">“ 网 络 ”, 进 入 如 图 5.5. 58 所 示 的 网 络 配置 界面 , 单 击 “ 新 建 > 工 具 按钮 进 
入 图 5. 5. 59 所 示 的 设备 类 型 菜单 ,选中 “CIPE(VPN) 连 接 ”, 单 击 “ 前 进 ” 按 钮 。 
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> SE = = R 
文件 E) ”配置 文件 PB) HHH 

; d @:v x 
”新 建 (N) MRE 复制 (CO 删除 D) REA AED) 
设备 由 [Erw [pns | 主机 (O) 


ga EA JR SWEDISH. M 
Ej) 件 上 可 有 多 个 虚拟 设备 与 之 相 


配置 文 | 状态 设备 绰号 类 型 


活跃 配置 文件 ， 公 用 (已 修改 ) 


图 5558 网 络 配 置 界面 


Dy 调 制 解 调 器 连接 
[EDITI 

i9 无 线 连接 

BB XDSL 连接 


里 RHO | «uu b 前 进 (E) 


图 559 设备 类 型 选择 界面 


(2) 在 弹出 的 如 图 5. 5. 60 所 示 的 隧道 配置 菜单 中 ,对 其 参数 进行 配置 。 
“设备 ”用 于 标识 此 CIPE 设备 名 称 。 

“隧道 穿越 设备 ?用 于 指出 基于 哪 一 个 网 卡 和 外 界 建 立 隧道 连接 。 

“本 地 端口 ?用 于 指定 CIPE 通信 中 的 监听 端口 。 

“远程 对 端 地 址 ? 栏 中 ,如 果 选 中 “自动 ” 复 选 框 , 则 显示 为 “服务 器 模式 ”, 即 本 地 的 CIPE 
配置 为 服务 器 端 ,不 用 配置 IP 地 址 ; 如果 不 选中 “自动 ” 复 选 框 , 则 本 地 CIPE 配置 为 客户 
端 ,需要 在 此 栏 中 指定 CIPE 服务 器 端的 IP 地 址 。 

“远程 对 端 端口 ” 栏 在 本 地 配置 为 服务 器 端 时 不 用 指定 端口 , 当 配 置 为 客户 端 时 ,需要 指 
定 远程 服务 器 端的 监听 端口 。 

“远程 虚拟 地 址 ?是 指定 和 对 端 哪个 CIPE 虚拟 地 址 的 计算 机 建立 CIPE 连接 。 

“本 地 虚拟 地 址 ”用 于 配置 本 地 的 CIPE 虚拟 地 址 接口 。 

“ 密 钥 ” 栏 用 于 配置 服务 器 端 和 客户 端 通信 的 密 钥 , 可 以 单 击 “ 生 成 ”按钮 自动 生成 ,或 者 
在 命令 行 状态 下 利用 md5sum 命令 生成 : 
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设备 (D): 


cipcb0 


隧道 穿越 设备 ( 卫 : 


eth0 (192.168.1.3) 


本 地 端口 (D: 


7777 


远程 对 端 地 址 (R): 


服务 器 模式 


远程 对 端 端口 (O): 


远程 虚拟 地 址 (V): 


192.168.100.2| 


本 地 虚拟 地 址 (QO): 


192.168.100.3 


EHS): 


123 


您 的 对 端 伙伴 的 配置 


隧道 设备 的 IP 地 址 : 服务 器 模式 
本 地 端口 : (自选 ) 
远程 对 端 地 址 : 192.168.1.3:7777 
远程 虚拟 地 址 : 192.168.100.3 

本 地 虚拟 地 址 : 192.168.100.2 


x xno | 


RES 


# ps - auxw | md5sum 
62c8889ode004ad708096f 6ee19c1077e 


此 命令 的 含义 是 通过 ps 命令 
md5sum 命令 的 输入 值 , 生 成 一 个 128 HB 32 个 十 六 进 制 字符 的 MD5 AE. 

此 外 ,也 可 以 手工 设置 密 钥 。 不 管 采用 何 种 方式 , 均 要 求 服务 器 端 和 客户 端的 密 钥 必 须 
相同 ,这 里 采用 手工 设置 123 作为 密 钥 。 

设置 完成 相关 选项 后 , 单 击 “ 前 


单 击 “应 用 ?按钮 ,前 


° 198 。 


550 隧道 配置 菜单 


显示 出 当前 的 系统 进 


进 ” 按 钮 , 即 可 看 到 图 5 
完成 了 CIPE 服务 器 端的 配置 。 


您 已 选 定 了 下 列 信 息 : 


远程 虚拟 地 址 : 
本 地 虚拟 地 址 : 


程 ,然后 由 管 


192.168.100.2 
192.168.100.3 


道 方式 将 显示 信息 作为 


5. 61 中 配置 生成 的 CIPE 参数 。 


RAO || 梧 后退 B) | | e RIO) 


6561 建立 的 QFE 连 接 参 数 


(3) 现在 回 到 了 图 5. 5. 62 所 示 的 网 络 配置 窗口 ,此 时 可 以 看 到 新 生成 的 cipcb0 这 个 
CIPE 虚拟 连接 端口 。 单 击 “ 激 活 ” 按 钮 将 其 设置 为 “活跃 ”状态 , 即 可 正常 使 用 了 。 


z 


€ 
1! 
E] 
x) 


SHE) 配置 文件 B) HMD 


B £f B OF? x 


新建 SAD 复制 MED ”激活 (A) NED 
设备 由 | 硬件 WD | DNS | 主机 (O) 


3 Í 您 可 在 此 处 配置 与 物理 硬件 相连 的 网 络 设 备 。 单 个 硬 
PE) 件 上 可 有 多 个 虚拟 设备 与 之 相连 。 


活跃 配置 文件 ， 公 用 (已 修改 ) 


图 5562 网 络 配置 窗口 中 新 生成 的 Gpcdb0 虚拟 接口 


(4) 下 面 通过 ifconfig 命令 查看 cipcb0 接口 的 状态 ,在 图 5. 5. 63 中 ,可 以 看 到 cipcb0 
接口 激活 后 处 于 UP 状态 ,并 显示 出 其 虚拟 接口 IP 地 址 和 对 端 地 址 。 输 入 命令 route 可 以 
看 到 当前 的 路 由 信息 ,如 图 5. 5. 64 所 示 , 其 中 显示 了 到 CIPE 客户 端 192. 168. 100. 2 的 路 
由 ,说 明 CIPE 服务 器 端 已 经 可 以 正常 工作 ,等 待 客户 端的 连接 了 。 


v root localhost:~ 
File Edit View Terminal Go Help 
[root@localhost root]# ifconfig 
cipcbo Link encap:IPIP Tunnel HWaddr 
inet addr:192.168.100.3 P-t-P:192.168.100.2 Mask:255.255.255.255 
UP POINTOPOINT NOTRAILERS RUNNING NOARP MTU:1442 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:100 
RX bytes:0 (0.0 b) TX bytes:O (0.0 b) 


Link encap:Ethernet HWaddr 00:0C:29:7B:85:4A 

inet addr:192.168.1.3  Bcast:192.168.1.255 Mask:255.255.255.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 

RX packets:0 errors:0 dropped:0 overruns:0 frame:0 

TX packets:4 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:100 

RX bytes:0 (0.0 b) TX bytes:168 (168.0 b) 

Interrupt:5 Base address:0x2000 


Link encap:Local Loopback 

inet addr:127.0.0.1 Mask:255.0.0.0 

UP LOOPBACK RUNNING MTU:16436 Metric:1 

RX packets:549 errors:0 dropped:0 overruns:0 frame:0 
TX packets:549 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 

RX bytes:37046 (36.1 Kb) TX bytes:37046 (36.1 Kb) 


[root@localhost root]# 0 


图 5563 QPE 服 务 器 端的 接口 状态 


s 199 s 


ka root? localhost:~ 


File Edit View Terminal Go Help 

[root@localhost root]# route 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref Use Iface 


255.255.255.255 UH 0 0 0 cipcbo 
255.255.255.0 U 0 etho 
255.255.0.0 0 etho 
255.0.0.0 0 lo 
192.168.1.1 0.0.0.0 0 etho 
[root@localhost root]# 0 


0 
0 
0 
0 


图 5564 QFE 服 务 器 端的 路 由 信息 
(5) 上 面 几 步 通过 图 形 窗口 配置 的 CIPE 信息 都 写 人 了 以 下 两 个 配置 文件 : 


/etc/sysconfig/network- scripts/ifcfg- cipab0 
/etc/cipe/options.cipdo0 


图 5.5.65 中 显示 了 这 两 个 文件 的 内 容 。 


v root? localhost:/etc/sysconfig/network-scripts 

File Edit View Terminal Go Help 

[root@localhost network-scripts]# cat ifcfg-cipcbO 
# Please read /usr/share/doc/initscripts-*/sysconfig.txt 
# for the documentation of these parameters. 
USERCTL-no 

PEERDNS-no 

TYPE-CIPE 

DEVICE-cipcbO 

ONBOOT=no 

IPADDR=192.168.100.3 


MYPORT=7777 


PTPADDR-192.168.100.2 

PEER-0.0.0.0 

ME-192.168.1.3 

TUNNELDEV-ethO 

[root@localhost network-scripts]# cat /etc/cipe/options.cipcbO 
cttl 64 

maxerr -1 

key 123 

[root@localhost network-scripts]# 0 


5565 QFE 配 置 文件 的 内 容 


ifcfg-cipcb0 文件 中 的 各 参数 说 明 如 下 : 

USERCTL 参数 说 明了 普通 用 户 是 否 有 权 激活 该 设备 。 

PEERDNS 说 明 对 端的 DNS 服务 器 地 址 。 

ONBOOT 说 明 此 CIPE 虚拟 接口 是 否 在 系统 启动 时 激活 。 

其 他 参数 都 对 应 着 图 5. 5. 65 中 的 参数 。 

options. cipcb0 文件 中 的 各 参数 说 明 如 下 : 

cttlCcarrier time to live) 表 示 CIPE 数据 包 的 最 大 生存 时 间 。 

maxerr 表示 CIPE 允许 的 最 大 错误 数 ,一 1 表示 错误 数 无 限 大 , 仅 用 于 CIPE 服务 器 端 。 

key 为 设置 的 密 钥 ,显示 了 图 5. 5. 65 中 设置 的 key BR. 

3) CIPE 客户 端的 配置 

CIPE 客户 端的 配置 与 服务 器 端的 配置 类 似 , 只 是 在 隧道 配置 的 参数 中 有 所 不 同 , 在 
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“远程 对 端 地 址 ”和 “远程 对 端 端口 ”中 配置 成 CIPE 服务 器 端的 IP 地 址 和 端口 ,如 图 5. 5. 66 
所 示 。 


VERO): cipcbÜ 


隧道 穿越 设备 (D: | 无 - 服务 器 模式 


本 地 端口 (DD: 7777 
远程 对 端 地 址 (R): |192.168.1.3 
远程 对 端 端口 (D): |7777 
远程 虚拟 地 址 (V): |192.168.100.3 
本 地 虚拟 地 址 (C): |192.168.100.2 
BAS): 123] 

您 的 对 端 伙伴 的 配置 

隧道 设备 的 IP 地 址 : 192.168.1.3 
本 地 端口 : 7777 

远程 对 端 地 址 : 0.0.0.0 (autok7777 


: 192.168.100.2 
: 192.168.100.3 


3€ 取消 (CC 梧 FRW b dis 


55656 QFE 客户 端的 配置 


配置 完成 后 ,在 命令 行 下 输入 route 命令 ,可 以 看 到 本 地 也 添加 了 到 服务 器 端 CIPE 虚 
拟 地 址 的 路 由 。 然 后 通过 ping 命令 测试 与 CIPE 服务 器 端的 连接 ,如 图 5. 5. 67 所 示 , 当 有 
ICMP 数据 包 反 馈 时 说 明 CIPE 连接 成 功 建立 。 


(vl root? localhost: 


File Edit View Terminal Go Help 

[root@localhost root]# route 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref Use 
192.168.100.3 * 255.255.255.255 UH 0 0 
192.168.1.0 * 255.255.255.0 U 0 

169.254.0.0 * 255.255.0.0 U 0 

127.0.0.0 * 255.0.0.0 U 0 

default 192.168.1.1 0.0.0.0 UG 0 


[root@localhost root]# ping -c 3 192.168.100.3 

PING 192.168.100.3 (192.168.100.3) 56(84) bytes of data. 

64 bytes from 192.168.100.3: icmp_seq=1 ttl-64 time-0.016 ms 
64 bytes from 192.168.100.3: icmp seq-2 ttl-64 time-0.017 ms 
64 bytes from 192.168.100.3: icmp seq-3 ttl-64 time-0.017 ms 


--- 192.168.100.3 ping statistics --- 

3 packets transmitted, 3 received, 0% packet loss, time 1999ms 
rtt min/avg/max/mdev - 0.016/0.016/0.017/0.004 ms 
[root&localhost root] [] 


图 5567 连通 性 测试 


4. Windows 操作 系统 中 利用 OpenVPN 配置 VPN 
OpenVPN 是 一 个 开源 的 第 三 方 虚拟 专用 网 配置 工具 ,可 以 利用 固有 设备 搭建 轻型 的 
VPN 应 用 网 关 。 
“ 201] > 


安装 配置 步骤 如 下 。 
1) 下 载 安 装 OpenVPN( 实 验 系统 提供 有 工具 包 ) 


openvpn- 2.0.9- gui- 1.0.3- install.exe 


安装 完毕 后 ,easy-rsa 在 C:\Program Files\OpenVPN\ A F. 

2) 初始 化 配置 

把 easy-rsa 目录 下 的 vars. bat. sample 改名 为 vars. bat ,并且 修 改 其 内 容 ( 最 好 用 写字 
板 打 开 , 用 记事 本 打开 会 破坏 文档 格式 ): 


set KEY COUNIRY- CN 

set KEY PROVINCE- BJ 

set KEY CITY- BeiJing 

set KEY CRG-buptis 

set KEY FMAIL- buptisce isc.sie.bupt.cn 


把 easy-rsa 下 的 openssl. cnf. sample WAR openssl. cnf, 
然后 进入 cmd. exe: 


Microsoft Windows XP [版 本 5.1.2600] 

(C) 版 权 所 有 1985- 2001 Microsoft Corp. 

C:\Documents and Settings\Administrator> od "\ Program Files\QpenVPN\easy- rsa" 
C:\Program Files\QpenVPN\easy- rsa» vars 

C:\Program FilesVOperiVENVeasy- rsa» clean- all.bat 

系统 找 不 到 指定 的 文件 。 

已 复制 EEE 

已 复制 1th xt. 


3) 生成 根 CA 
命令 格式 如 下 : 


C:\Program FilesVOperiVENVeasy- rsa» build- ca.bat 


输出 为 keys/ca. crt 和 keys/ca. key. 


C:\Program FilesVOperiVENVeasy- rsa» build- ca.bat 
Using configuration fram openssl.cnf 
Generating a 1024 bit RSA private key 


You are about to be asked to enter information that will be incorporated into your certificate request. 
What you are about to enter is what is called a Distinguished Name or a IN. 

There are quite a few fields but you can leave same blank. 

For same fields there will be a default value, 

If you enter '.', the field will be left blank. 


Country Name (2 letter code) [CN]: 

State or Province Name (full name) [BJ]: 

locality Name (eg, city) [BeiJing]: 

Organization Name (eg, company) [buptisc]: 
Organizational Unit Name (eg, section) []:zyj group 

Common Name (eg, your name or your server's hostname) []:zyj group 
Email Address [buptisc@ isc.sie.bupt.cn]: 

C:\Program Fi lesVOperiVENVeasy- rsa> 


使 用 build-dh. bat 命令 生成 dh1024. pem 文件 ,Server f FH TLS 必须 使 用 的 一 个 文件 。 
输出 为 keys/dh1024. pem, 


C:\Program FilesNOpenVENNeasy- rsa> build- dh.bat 

warning, not much extra randan data, consider using the - rand option. 
Generating DH parameters, 1024 bit long safe prime, generator 2. 

This is going to take a long time. 


十 十 头 十 十 关 十 


此 处 省 略 了 若干 字符 ) 

C:\Program Files\QpenVPN\easy- rsa» 

4) 生成 服务 器 端 证 书 、 客 户 端 证 书 和 TA 证 书 
下 面 开 始 生 成 服务 器 端 使 用 的 证 书 。 

命令 格式 如 下 : 


build- key- server.bat < filename» 
输出 为 keys/<filename>. crt, — filename". csr fll filename. key. 


C:\Program FilesVOperiVENNVeasy- rsa> build- key- server.bat server 
Using configuration from openssl.cnf 
Generating a 1024 bit RSA private key 
— 十 十 十 十 十 十 
十 十 十 十 十 十 
writing new private key to 'keys\server.key' 
You are about to be asked to enter infomation that will be incorporated into your certificate request. 
What you are about to enter is what is called a Distinguished Name or a IN. 
There are quite a few fields but you can leave same blank. 
For same fields there will be a default value, 
If you enter '.', the field will be left blank. 
Country Name (2 letter code) [CN]: 
State or Province Name (full name) [BJ]: 
Locality Name (eg, city) [BeiJing]: 
Organization Name (eg, campany) [buptisc]: 
Organizational Unit Name (eg, section) []:zyj group 
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Common Name (eg, your name or your server's hostname) []:zyj test 
Email Address [buptisc isc.sie.bupt.cn]: 


Please enter the following 'extra' attributes 

to be sent with your certificate request // 此 处 把 密码 留 空 
A challenge password []: 

An optional company name []: 

Using configuration fram openssl .cnf 

Check that the request matches the signature 


Signature ok 

The Subjects Distinguished Name is as follows 

countryName : PRINTABLE: "CN" 

stateOrProvinceName :PRINTABLE: "BJ" 

localityName : PRINTABLE: "BeiJing" 
organizationName :PRINTABLE: 'buptisc' 
organizationalUnitName ^ :PRINTABIE:'zyj group' 

cammonName :PRINTABLE: 'zyj test' 

emailAddress :IA5STRING: 'buptisc@ isc.sie.bupt.cn' 


Certificate is to be certified until Feb 9 10:01:34 2016 GMT (3650 days) 
Sign the certificate? [y/n] :y 


1 out of 1 certificate requests certified, commit? [y/n]y 
Write out database with 1 new entries 
Data Base Updated 


C:\Program Fi lesVOperiVENVeasy- rsa» 


下 面 开 始 为 客户 端 生成 证 书 。 
命令 格式 如 下 : 


build- key.bat < filename> 
tai tH keys/<filename>. crt ,.keys/<filename>. csr 和 keys/<filename>. key。 


C:\Program Fi lesVOperiVENVeasy- rsa> build- key.bat client 

Using configuration fram openssl.cnf 

Generating a 1024 bit RSA private key 

1———————ÀolR 十 十 十 十 十 

——————— F HEHHE 

writing new private key to 'keys\client.key' 

You are about to be asked to enter information that will be incorporated into your certificate request. 
What you are about to enter is what is called a Distinguished Name or a IN. 
There are quite a few fields but you can leave sare blank. 

For sare fields there will be a default value, 

If you enter '.', the field will be left blank. 


Country Name (2 letter code) [CN]: 

State or Province Name (full name) [BJ]: 

locality Name (eg, city) [BeiJing]: 

Organization Name (eg, campany) [buptisc]: 

Organizational Unit Name (eg, section) []:zyj group 

Caman Name (eg, your name or your server's hostname) []:zyj test 
Email Address [buptisc@ isc.sie.bupt.cn]: 


Please enter the following 'extra' attributes 

to be sent with your certificate request // 此 处 密码 也 留 为 空 
A challenge password []: 

An optional carpany name []: 

Using configuration fram openssl.cnf 

Check that the request matches the signature 


Signature ok 

The Subjects Distinguished Name is as follows 

countryName :PRINTABLE: 'CN" 

stateOrProvinceName :PRINTABLE: "BJ" 

localityName : PRINTABLE: "BeiJing" 
organizationName : PRINTABLE: 'buptisc" 
organizationalUnitName : PRINTABLE: 'zyj group' 

cammonName :PRINTABLE: 'zyj test' 

emai lAddress :TASSTRING: 'buptisc@ isc.sie.bupt.cn' 


Certificate is to be certified until Feb 9 10:05:53 2016 GMT (3650 days) 
Sign the certificate? [y/n] :y 


1 out of 1 certificate requests certified, commit? [y/n]y 
Write out database with 1 new entries 
Data Base Updated 


C:\Program Fi lesVOperiVENVeasy- rsa» 


下 面 生 成 ta. key X fF, 
命令 格式 如 下 : 


openvpn - - genkey - - secret keys/ta.key 
输出 为 keys/ta. key. 


C:\Program Files\QpenVPN\easy- rsa> openvpn - - genkey - - secret keys/ta.key 
C:\Program Fi lesVOperiVENVeasy- rsa> 


到 此 为 止 , 根 CA、 服 务 器 端 和 客户 端 所 需 证 书 和 密 钥 文件 就 已 经 全 部 准备 就 绕 了 ,下 
面 只 需要 设 定 配置 文件 就 可 以 了 。 
5) 服务 端 与 客户 端的 配置 
server. ovpn 内 容 示 例如 下 : 
< 205. 


Port 1194 // 用 1194 端 口 进行 通信 

proto udp // 用 UDP 协议 进行 中 间 层 协议 封包 (可 选 TcP, 在 不 稳定 网 络 状 态 更 可 靠 ) 
dev tap 

// 虚 拟 设备 型 号 


Ca ca.crt 


cert server.crt 

key server.key //This file should be kept secret 

dh dh1024.pem 

// 上 面 就 是 服务 端 要 用 的 证 书 

server 10.8.0.0 255.255.255.0 

// 服 务 网 关 的 虚拟 网 段 服务 器 端 默 认 IPH 10.8.0.1, 客 户 端 默 认 下 为 10.8.0.2 
ifconfig- pool- persist ipp.txt 

client- to- client 

;duplicate- cn 

keepalive 10 120 

tls- auth ta.key 0 //This file is secret 

// 认 证 方式 协商 ,用 证 书 方式 进行 密 钥 交换 GE SEE. openVEN 也 可 以 使 用 口令 认证 方式 ) 
cap- 1zo 

;max- clients 100 

user nobody 

group nobody 

persist- key 

persist- tun 

status openvpn- status.log 

verb 3 


EX config 文件 保存 完成 后 ,把 配置 文件 放 到 C:\Program Files\OpenVPN\config\ A 
录 下 。 

把 easy-rsa\keys\ 下 的 ca. crt, server. crt, server. key, ta. key 和 dh1024. pem 复制 到 
server. ovpn 所 在 的 目录 。 

服务 器 端的 配置 已 经 结束 ,可 以 启动 服务 器 了 。 如 果 需 要 服务 器 启动 后 自动 运行 ,可 以 
修改 “控制 面板 ”>“ 管 理工 具 ” 一 “服务 ”, 把 Open VPN 设置 成 自动 启动 。 

客户 端的 配置 文件 示例 如 下 : 


client 
dev tap 
proto udp 
remote 59.64.X.X 1194 // 请 填写 服务 器 端 真实 有 效 的 IP Sb E 
resolv- retry infinite // 此 处 表示 无 限 次 重复 请 求 服务 器 端 
nobind 
user nobody 
group nobody 
persist- key 
persist- tun 
;http- proxy- retry # retry on connection failures 
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;http- proxy [proxy server] [proxy port #] 

ca ca.crt 

cert client.crt 

key client.key 

// 上 述 就 是 客户 端 要 用 的 证 书 及 密 钥 文 件 

ns-cert- type ‘server 

tls- auth ta.key 1 

cap- 1zo 

# Set log file verbosity. 

verb 3 

并 且 把 服务 器 端 主机 easy-rsa/keys FAY ca. crt,client. crt,client. key 和 ta. key 一 起 放 
到 客户 机 的 二 OpenVPN_HOME>\config 目录 下 。 

客户 端的 配置 已 经 结束 ,可 以 连接 服务 器 了 ,在 右 下 角 OpenVPN-gui 上 右 击 ,在 快捷 菜 
单 中 选择 connected 命令 ,如 果 连 接 成 功 , 则 可 以 看 到 一 个 鲜 绿色 的 图 标 。 


实验 报告 要 求 

。 实 验 目 的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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6.1 防火 墙 技术 


防火 墙 是 一 类 防范 措施 的 总 称 。 所 谓 “ 防 火 墙 ”, 是 指 一 种 将 内 联网 和 公众 访问 网 (互联 
网 ,internet) 分 开 的 方法 , 它 使 得 内 联网 与 互联 网 互相 隔离 ,限制 网 络 互 访 来 保护 内 部 网 络 。 
它 是 一 个 或 一 组 由 软件 和 硬件 构成 的 系统 ,是 在 两 个 网 络 通信 时 执行 的 一 种 访问 控制 规则 ， 
防止 重要 信息 被 更 改 、 复 制 或 毁坏 。 设 置 防火 墙 目 的 都 是 为 了 在 内 部 网 络 与 外 部 网 络 之 间 
设立 唯一 的 通道 ,简化 网 络 的 安全 管理 。 


6.1.1 基本 概念 


防火 墙 是 一 个 网 络 安全 专用 词 , 它 是 在 内 部 网 络 ( 或 局 域 网 ) 和 互联 网 之 间 ,或 者 是 内 部 
网 络 的 各 部 分 之 间 实 施 安全 防护 的 系统 ,通常 由 硬件 设备 (路 由 器 .网 关 、 堡 又 主机 和 代理 服 
务 器 ) 和 防护 软件 等 共同 组 成 。 在 网 络 中 它 可 对 信息 进行 分 析 、 隔 离 和 限制 ,从 而 保护 网 络 
运行 安全 。 

防火 墙 的 体系 结构 主要 包括 如 下 几 个 部 分 。 

(1) 屏蔽 路 由 器 (screening router): 它 是 防火 墙 最 基本 的 构件 ,可 以 由 路 由 器 实现 ,也 
可 以 用 主机 来 实现 。 屏 蔽 路 由 器 作为 内 外 连接 的 唯一 通道 ,要求 所 有 报 文 都 必须 在 此 通过 
检查 。 

(2) 双 穴 主机 网 关 (Cdual homed gateway): 这 种 配置 是 用 一 台 装 有 两 块 网 卡 的 堡垒 主 
机 做 防火 墙 。 其 两 块 网 卡 各 自 与 受 保护 的 内 部 网 络 和 外 部 网 络 相 连 ,其 防火 墙 软件 可 以 转 
发 应 用 程序 .提供 服务 等 。 

(3) Biillt xEBLII (screened host gateway): 屏蔽 主机 网 关 易 于 实现 ,也 很 安全 ,应 用 
广泛 。 这 种 网 关 的 基本 控制 策略 由 安装 在 上 面 的 软件 决定 。 

(4) 被 屏蔽 子 网 (screened subnet): 这 种 方法 是 在 内 部 网 络 和 外 部 网 络 之 间 建 立 一 个 
被 隔离 的 子 网 ,用 两 台 分 组 过 滤 路 由 器 将 这 一 子 网 分 别 与 内 部 网 络 和 外 部 网 络 分开 。 

防火 墙 的 作用 如 下 : 

COD 取消 或 拒绝 任何 未 被 明确 允许 的 软件 包 通 过 。 

(2) 将 外 部 用 户 保 持 在 内 部 网 络 之 外 ,对 外 部 用 户 访问 内 部 网 络 做 出 限制 。 

(3) 强制 执行 注册 .审计 和 报警 等 。 


6.1.2 个 人 防火 墙 


主流 防火 墙 产 品 包 括 天 网 防火 墙 、 诺 顿 防火 墙 \ 江 民 防 火 墙 金山 网 镖 和 瑞星 个 人 防 
火 墙 。 
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6.1.2.1 天 网 防火 墙 


天 网 防火 墙 是 由 天 网 安全 实验 室 研 发 制作 给 个 人 计算 机 使 用 的 网 络 安全 工具 。 它 根据 
系统 管理 者 设 定 的 安全 规则 (security rules) 防 护 网 络 ,提供 强大 的 访问 控制 .应 用 选 通 、 信 
息 过 滤 等 功能 。 能 够 抵挡 网 络 人 侵 和 攻击 ,防止 信息 泄露 ,保障 用 户 计算 机 的 网 络 安全 。 天 
网 防火 墙 把 网 络 分 为 本 地 网 和 互联 网 ,可 以 针对 来 自 不 同 网 络 的 信息 设置 不 同 的 安全 方案 。 

天 网 防火 墙 具 有 如 下 特征 ; 

CD 严密 的 实时 监控 。 防 火 墙 会 监控 来 自 外 部 的 安全 威胁 ,过 滤 掉 所 有 未 授权 的 连接 ， 
时 刻 保护 系统 安全 。 

(2) 灵活 的 安全 规则 。 通 过 防火 墙 的 规则 设置 面板 ,可 以 方便 地 对 防火 墙 规则 进行 增 
加 、 删 除 和 修改 ,可 以 根据 自身 需要 去 制定 相应 的 规则 。 官 方 会 根据 网 络 安全 环境 不 定时 升 
级 最 新 规则 库 。 

(3) 便利 的 应 用 程序 规则 设置 。 拒 绝 任何 未 经 授权 的 内 部 程序 连接 网 络 , 从 而 阻 断 了 
所 有 病毒 木马 泄露 秘密 信息 。 

(4) 详细 的 访问 记录 和 完善 的 报警 系统 。 遇 到 安全 威胁 即 发 出 报警 ,并 记录 攻击 来 源 
及 其 攻击 类 型 等 信息 ,在 第 一 时 间 掌 握 系 统 的 安全 情况 。 

C5) 独创 的 扩展 安全 级 别 。 无 须 对 防火 墙 进行 烦琐 的 设置 ,只 要 把 安全 级 别 调 成 扩 
展 ?级 别 即 可 ,每 当 有 最 新 规则 ,防火 墙 会 自动 联网 升级 。 

(6) 完善 的 密码 保护 措施 。 查 看 、 修 改 和 关闭 防火 墙 均 需要 提供 密码 ,防止 了 病毒 或 黑 
客 恶 意 关 闭 防火 墙 以 制造 安全 漏洞 。 

CT) 稳定 的 进程 保护 。 进 程 保护 可 以 使 防火 墙 的 进程 享受 超越 系统 级 的 安全 待遇 , 保 
护 防火 墙 的 进程 不 被 恶意 关闭 。 

(8) 智能 的 入 侵 检 测 。 针 对 密集 的 攻击 ,防火墙 会 自动 判断 并 将 攻击 源 加 入 列表 ,静默 
该 攻击 源 。 一 旦 攻击 源 被 加 入 静默 列表 ,所 有 来 自 这 里 的 攻击 一 律 被 屏蔽 。 


6.1.2.2 诺顿 防火 墙 


诺顿 防火 墙 是 由 赛 门 铁 克 公 司 提 供 的 一 款 功 能 强大 的 防火 墙 。 诺 顿 防火 墙 所 集成 的 功 
能 相当 丰富 ,除了 作为 基础 的 防火 墙 功能 ,入 侵 检测 .隐私 保护 等 功能 也 颇 为 强大 。 诺 顿 防 
KEN YE a PERT Web 辅助 功能 插件 ,该 插件 可 以 动态 地 根据 所 浏览 网 站 的 情况 进行 
弹出 广告 窗口 .Applet 和 ActiveX 等 内 容 的 阻塞 ,而 用 户 可 以 针对 单个 网 站 决定 是 否 阻 塞 
这 些 内 容 , 同 时 以 关键 字 的 形式 维护 广告 信息 过 滤 清 单 。 男 外 ,该 插件 还 可 以 帮助 用 户 禁 止 
浏览 器 信息 、 访 问 历 史 信 息 等 泄漏 给 外 部 网 络 。 诺 顿 防 火 墙 所 和 集成 的 人 侵 检 测 组 件 带 有 大 
量 的 攻击 指纹 ,能够 设 定 在 多 长 时 间 内 阻止 发 起 攻击 的 计算 机 ,其 功能 性 已 经 趋 近 了 专业 的 
入 侵 检 测 系统 。 

诺顿 防火 墙 的 定制 能 力 不 单 体现 在 对 防火 墙 规则 的 设 定 上 ,辅助 功能 组 件 的 管理 功能 
也 相当 强大 。 以 人 侵 检测 指纹 为 例 , 用 户 可 以 决定 哪些 攻击 需要 被 检测 ,而 哪些 需要 被 忽 
略 ; 同 时 ,可 以 选择 发 现 攻击 时 的 告警 方式 。 另 外 ,不 只 防火 墙 具 有 防护 等 级 ,包括 隐私 保护 
等 辅助 功能 在 内 也 可 以 独立 设置 级 别 , 用 户 可 以 快速 简便 地 设 定 计算 机 的 防护 强度 。 

在 整体 设计 上 诺顿 防火 墙 相 当 规 整 , 大 量 的 功能 很 好 地 排 布 在 几 个 选项 中 ,相应 的 许多 
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操作 需要 深入 多 个 界面 才能 完成 ,这 也 是 诺顿 防火 墙 操作 负担 较 高 的 主要 原因 。 诺 顿 防 火 
墙 为 用 户 提供 了 多 种 应 用 情境 模式 的 选择 ,对 这 些 模式 诺顿 防火 墙 分 别 赋予 了 不 同 的 规则 
权限 ,初级 用 户 可 以 安全 高 效 地 利用 模式 的 切换 来 调整 对 计算 机 的 保护 。 而 相对 专业 的 基 
于 地 址 和 协议 的 过 滤 条 件 设 定 被 隐藏 在 了 高 级 设置 部 分 ,专业 用 户 在 需要 的 情况 下 可 以 通 
过 该 界面 定义 更 加 复杂 的 防护 策略 。 


6.1.2.3 江 民 防火 墙 


江 民 防火 墙 是 一 款 专 为 解决 个 人 用 户 上 网 安全 而 设计 的 免费 网 络 安全 防护 工具 ,产品 
融入 了 先进 的 网 络 访问 动态 监控 技术 ,彻底 解决 黑客 攻击 、 木 马 程序 及 互联 网 病毒 等 各 种 网 
络 危 险 的 人 侵 , 全 面 保护 个 人 上 网 安全 。 

江 民 防火 墙 具 有 如 下 特征 : 

d) 全 新 网 络 访问 动态 监控 技术 。 动 态 监 控 黑 客 攻 击 、 木 马 程序 .互联 网 病毒 等 危险 ， 
保护 上 网 账号 .QQ 密码 ,游戏 分 值 .银行 账号 、 邮 件 密码 和 个 人 隐私 等 重要 信息 不 外 泄 。 

(2) 网 络 安全 级 别 设 定 , 智 能 防 黑 客 、 拦 木马 ,有 高 .中 、 低 、 自 定义 4 种 安全 级 别 设 定 满 
足 不 同 需求 用 户 的 网 络 安全 选择 ;监视 网 络 数据 流 , 遇 危险 ,报警 提示 。 

(3) 程序 访问 控制 技术 和 网 络 日 志 记 录 技 术 。 用 户 可 对 本 地 网 络 规则 进行 匹配 设置 ， 
保证 只 有 安全 可 靠 的 访问 才 被 允许 ;详细 记录 网 络 链接 情况 , 留 下 非法 访问 和 未 被 授权 访问 
对 象 详细 的 IP 地 址 。 

(4) 网 络 访问 控制 ,过 滤 不 良 网 站 ,保证 数据 安全 。 通 过 设置 防火 墙 管理 中 的 区 域 访问 
控制 规则 ,可 以 阻止 不 良 网 站 和 受 控制 网 段 访问 计算 机 ,清洁 网 络 空间 ,保证 数据 安全 。 


6.1.2.4 金山 网 镖 


金山 网 镖 是 一 款 由 金山 毒霸 推出 ,为 个 人 计算 机 量 身 定做 的 网 络 安全 产品 。 它 根据 个 
人 上 网 的 不 同 需要 来 设 定 安全 级 别 , 有 效 地 提供 网 络 流量 监控 ,应 用 程序 访问 网 络 权 限 控 
制 ,病毒 预警 以 及 黑客 和 木马 攻击 监测 。 

金山 网 镖 具有 如 下 特征 : 

CD 全 面 安全 防护 。 专 业 的 个 人 网 络 防火 墙 ,提供 对 黑客 程序 ,木马 和 间谍 软件 以 及 其 
他 恶意 程序 的 拦截 查 杀 ,对 网 络 进行 全 方位 的 保护 。 并 且 还 提供 了 网 络 访问 监控 ,共享 目录 
管理 ,不 良 网 站 过 滤 等 多 种 网 络 安全 实用 功能 。 

(2) 防 网 络 钓鱼 。 防 止 钓鱼 网 站 和 钓鱼 邮件 的 攻击 ,用 户 访问 钓鱼 网 站 时 网 镖 会 自动 
拦截 ,防止 用 户 的 账号 、 密 码 等 重要 信息 被 盗 。 

(3) 历史 痕迹 清理 。 帮 助 用 户 预 览 并 清理 软件 使 用 的 痕迹 ,避免 重要 文件 .信息 或 个 人 
隐私 被 泄漏 。 

(4) 木马 防火 墙 。 通 过 多 种 技术 ,实现 对 木马 进程 的 查 杀 。 系 统 中 一 旦 有 木马 .黑客 或 
间谍 程序 访问 网 络 , 会 及 时 拦截 该 程序 对 外 的 通信 访问 ,然后 对 内 存 中 的 进程 进行 自动 查 
A ,以 保护 用 户 网 络 通信 的 安全 。 这 对 防御 盗 取 用 户 信息 的 木马 .黑客 程序 特别 有 效 。 具 体 
体现 在 以 下 3 个 方面 : 中 能 够 设置 应 用 程序 的 访问 权限 ; 思 通 过 高 .中 、 低 3 种 安全 级 别 的 
设 定 ,达到 不 同 程度 地 保护 用 户 安全 的 目的 ; 加 能 够 阻止 如 冰河 `B1O、 网 络 神偷 等 常见 木 
马 对 用 户 的 危害 ; 若 有 木马 侵入 ,金山 网 镖 会 及 时 拦截 ,并 弹出 对 话 框 告知 用 户 已 成 功 拦截 ， 
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真正 达到 实时 保护 计算 机 的 目的 。 

(5) 智能 防 黑 技术 。 融 杀毒 技术 与 网 络 防火 墙 技术 于 一 体 , 直 接 查 杀 流 行 木 马 与 黑客 
程序 。 动 态 监 视 计算 机 的 Internet 活动 状态 ,随时 加 以 控制 。 高 级 用 户 可 以 完全 细致 地 定 
制 不 同 的 IP. 包 过 滤 规 则 。 

(6) 程序 应 用 规则 中 可 以 根据 自己 的 需要 设置 各 程序 访问 互联 网 和 局 域 网 的 权限 ,一 
般 来 说 ,很 多 程序 是 可 以 设置 成 禁止 访问 网 络 来 降低 受 攻击 的 可 能 性 。 


6.1.2.5 瑞星 防火 墙 


瑞星 个 人 防火 墙 最 新 版 采用 增强 型 指纹 技术 ,能 有 效 地 监控 网 络 连接 。 内 置 细 化 的 规 
则 设置 ,使 网 络 保护 更 加 智能 。 游 戏 防盗 .应 用 程序 保护 等 高 级 功能 为 个 人 计算 机 提供 全 面 
的 安全 保护 。 通 过 过 滤 不 安全 的 网 络 访问 服务 , 极 大 地 提高 了 用 户 计算 机 的 上 网 安全 。 彻 
底 阻 挡 黑 客 攻击 .木马 程序 等 网 络 危 险 , 保 护 上 网 账号 .QQ 密码 和 网 游 账 号 等 信息 不 被 
$i Hi, 

(1) 防火 墙 多 账户 管理 。 防 火 墙 提 供 “ 管 理 员 ”和 “普通 用 户 ” 两 种 账户 。 防 火 墙 提 供 切 
换 账 户 功 能 ,可 以 在 两 种 账户 之 间 进 行 切 换 。 管 理 员 可 以 执行 防火 墙 的 所 有 功能 ,普通 用 户 
不 能 修改 任何 设置 .规则 ,不 能 启动 /停止 防火 墙 ,不 能 退出 防火 墙 。 

(2) 未 知 木马 扫描 技术 。 通 过 启发 式 查 毒 技 术 , 当 有 程序 进行 网 络 活动 的 时 候 , 对 该 进 
程 调用 未 知 木 马 扫描 程序 进行 扫描 ,如 果 该 进程 为 可 疑 的 木马 病毒 , 则 提示 用 户 。 此 技术 提 
高 了 对 可 疑 程序 自动 识别 的 能 力 。 

(3) IE 功能 调用 拦截 。 由 于 IE 提供 了 公开 的 COM 组 件 调 用 接口 ,有 可 能 被 恶意 程序 
所 调用 。 此 功能 是 对 需要 调用 IE 接口 的 程序 进行 检查 ,如果 检查 为 恶意 程序 , 则 向 用 户 

(4) 反 钓鱼 , 防 木 马 病毒 网 站 。 提 供 强大 的 、 可 以 升级 的 黑 名 单 规则 库 。 库 中 是 非法 
的 、 高 风险 、 高 危害 的 网 站 地 址 列表 ,符合 该 库 的 访问 会 被 禁止 。 

(5) 模块 检查 。 防 火 墙 能 够 控制 是 否 允许 某 个 模块 访问 网 络 。 当 应 用 程序 访问 网 络 的 
时 候 , 对 参与 访问 的 模块 进行 检查 ,根据 模块 的 访问 规则 决定 是 否 允 许 该 访问 。 以 往 的 防火 
墙 只 是 对 应 用 程序 进行 检查 ,而 没有 对 所 关联 的 DLL 做 检查 。 进 行 模块 检查 ,防止 了 木马 
模块 注入 到 正常 进程 中 访问 网 络 。 


6.2 天 网 防火 墙 实验 


实验 器 材 


天 网 防火 墙 个 人 版 软件 系统 ,1 E., 
PC( Windows XP/Windows 7).1 #. 
预习 要 求 


(1) 做 好 实验 预习 ,复习 防火 墙 技术 的 有 关内 容 。 
(2) 熟悉 天 网 防火 墙 的 使 用 方法 。 
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(3) 熟悉 实验 过 程 和 基本 操作 流程 。 
(4) 做 好 预习 报告 。 
实验 任务 


通过 本 实验 ,掌握 以 下 技能 : 
(1) 学 会 天 网 防火 墙 的 安装 及 基本 配置 。 
(2) 学 会 利用 天 网 防火 墙 保护 系统 安全 。 


实验 环境 
装 有 Windows XP/Windows 7 操作 系统 的 PC. 
预备 知识 


(1) 防火 墙 技术 及 原理 。 

(2) 网 络 协议 。 

实验 步 又 

1. 系统 设置 

系统 设置 如 图 6. 2. 1 所 示 , 包 括 启动 .规则 设 定 .应 用 程序 权限 .局域网 地 址 设 定 和 其 他 
设置 几 个 方面 。 


基本 设置 | 管理 权限 设置 | 在 线 升级 设置 | 日 志 管理 | c= 


三 启动 一 q p 规则 设 定 
| F FURGAR S | | 
一 应 用 程序 权限 - | 


| 厂 允许 所 有 的 应 用 程序 访问 网 络 , 并 在 规则 中 记录 这 些 程序 


「 局 域 网 地 址 设 定 


局 域 网 地 址 [I0 246.21 29 | 
L | 


| cpe ae 


fw 报警 声音 [E Progam Fles\SkyNet\Frew | 


[we ] [ww | 


图 621 天 网 防火 墙 设置 界面 


启动 项 是 设 定 开机 后 自动 启动 防火 墙 。 默认 为 不 启动 ,一 般 选择 自动 启动 。 这 也 是 安 
装 防火 墙 的 目的 。 规 则 设 定 是 一 个 设置 向 导 , 可 以 分 别 设置 安全 级 别 . 局 域 网 信息 和 常用 应 
用 程序 。 局 域 网 地 址 设 定 和 其 他 设置 可 以 根据 网 络 环境 和 爱好 自由 设置 。 
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2. 安全 级 别 设置 
最 新 版 的 天 网 防火 墙 的 安全 级 别 分 为 低 、 中 、 高 、 自 定义 4 类。 把 鼠标 置 于 某 个 级 别 上 
时 ,可 从 注释 对 话 框 中 查看 详细 说 明 , 如 图 6.2. 2 所 示 。 

© 低 安全 级 别 情况 下 ,完全 信任 局 域 网 ,允许 局 域 网 中 的 计算 机 访问 本 计算 机 提供 的 
各 种 服务 ,但 禁止 互联 网 上 的 计算 机 访问 这 些 服务 。 

。 中 安全 级 别 下 ,局 域 网 中 的 计算 机 只 可 以 访问 共享 服务 ,但 不 允许 访问 其 他 服务 ,也 
不 允许 互联 网 中 的 计算 机 访问 这 些 服 务 , 同 时 运行 动态 规则 管理 。 

。 高 安全 级 别 下 系统 屏蔽 所 有 向 外 的 端口 ,局 域 网 和 互联 网 中 的 计算 机 都 不 能 访问 本 
计算 机 提供 的 网 络 共享 服务 ,网络 中 的 任何 计算 机 都 不 能 查找 到 本 计算 机 的 存在 。 

。 自 定义 级 别 适合 了 解 TCP/IP 协议 的 用 户 ,可 以 设置 IP 规则 ,而 如 果 规 则 设置 不 正 
确 ,可 能 会 导致 不 能 访问 网 络 。 


622 安全 级 别 设置 界面 


对 普通 个 人 用 户 ,一 般 推荐 将 安全 级 别 设置 为 中 级 。 

3. 应 用 程序 访问 网 络 权 限 设 置 

在 设置 的 高 级 选项 中 ,可 以 设置 该 应 用 程序 是 通过 TCP 还 是 UDP 协议 访问 网 络 ,以 及 
TCP 协议 可 以 访问 的 端口 ,如 图 6.2. 3 所 示 。 当 不 符合 条 件 时 ,程序 将 询问 用 户 或 禁止 操作 。 

4. BE X. IP 规则 设置 

在 选中 中 级 安全 级 别 时 ,进行 自 定义 IP 规则 的 设置 是 很 必要 的 。 在 这 一 项 设置 中 ,可 
以 自行 添加 、 编 辑 和 删除 IP 规则 ,对 防御 入 侵 可 以 起 到 很 好 的 作用 ,如 图 6. 2.4 所 示 。 

自 定义 JP 规则 Xt m o Ca] 


动作 | 名 称 协议 | 方向 | 对 方 IP 
© 多 许 自己 用 ping 命 令 探测 其 他 机 器 ICP à 任何 


应 用 程序 访问 网 络 权限 设置 四 W B J C] O 区 许 路 由 器 返回 "超时 “的 ICIE 回 应 tICIEP 而 (ERI 
[5m |PFWLiveUpdate.EXE 版 本 :2.7.5.1 Y Cem) Â (9 “允许 路 由 器 返回 "无 法 到 达 “ 的 ICHP[IICMP oh 任何 
的 路 径 :CAProg ? = OO | 允许 局 域 网 的 机 器用 ping 命 令 探测 IOP à am — 昌 
zu Files Suet FeWall PFWLiveUpdate EXE 2 (m) © ”防止 别人 用 ping 命 令 探 测 ICIE à EA 
aa 版 本 : 05. 0. 103 w^ (EF) © pice ICIP 册 任何 
UPA cepa een i © p] IP 攻击 IOP 出 任何 
5 [urs Oo e 数据 包 监 视 TCP |à [EAT 
Services and Controller app 版 本 :5.1.2600.2 EA 口 电 。 | 允许 局 域 网 内 的 机 器 进行 连接 和 传 彰 TCP [à AMA 
& [RBS : C:\windows\systen32\services.ene M == | MS 。 区 许 局 域 网 的 机 器 使 用 我 的 共享 资 洪 TCP A ”局 域 网 
Si 7 (jE MO 蔡 止 互联 网 上 的 机 器 使 用 我 的 共享 党 TCPF A EA ~ 
3 人 Kesian: nem ne 器 时 ， 如 果 那 台 机 器 安装 了 TCP/IE 夫 i EA 
ETE : C:\windows\system32\spoolsv.exe & To ee iid fud M E ES iras RES 
IE TDUpdate exe BRIE) 7 ae ea Samed 
Ñ 路 径 :C:\Program Files T hunder ? Der) 
Network\T hunderMini\T DUpdate, exe 其 删除 


图 623 应 用 程序 网 络 访问 权限 设置 图 624 IP 访 问 规则 设置 


对 于 对 IP 规则 不 其 精通 ,并 且 也 不 想 去 了 解 这 方面 内 容 的 用 户 , 可 以 通过 下 载 天 网 或 
其 他 网 友 提 供 的 安全 规则 库 ,将 其 导入 到 程序 中 ,也 可 以 起 到 一 定 的 防御 木马 程序 .抵御 入 
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侵 的 作用 。 其 缺点 是 ,对 于 最 新 的 木马 和 攻击 方法 ,需要 重新 进行 规则 库 的 下 载 。 

IP 规则 的 设置 分 为 以 下 几 方面 : 规则 名 称 的 设 定 ,规则 的 说 明 ,数据 包 方 向 ,对 方 TP 地 
HE ,对 于 该 规则 IP, TCP, UDP, ICMP IGMP 协议 需要 做 出 的 设置 , 当 满 足 上 述 条 件 时 对 数 
据 包 的 处 理 方式 ,对 数据 包 是 否 进行 记录 等 。 如 果 IP 规则 设置 不 当 , 天 网 防火 墙 的 警告 标 
志 就 会 不 停办 烁 ;而 如 果 正 确 地 设置 了 1IP 规则 , 则 既 可 以 起 到 保护 计算 机 安全 的 作用 ,又 可 
以 不 必 时 时 去 关注 警告 信息 。 

在 天 网 防火 墙 的 默认 设置 中 有 对 于 ICMP 和 IGMP 攻击 的 防御 ,这 两 种 攻击 形式 一 般 
情况 下 只 对 Windows 98 系统 起 作用 ,而 对 Windows 2000 和 Windows XP 的 用 户 攻 击 无 
效 , 因 此 可 以 允许 这 两 种 数据 包 通过 ,或 者 拦截 而 不 警告 。 

用 Ping 命令 探测 计算 机 是 否 在 线 是 黑客 经 常 使 用 的 方式 ,因此 要 防止 别人 用 Ping 
探测 。 

在 国内 TP 地 址 缺乏 的 情况 下 ,很 多 用 户 是 在 一 个 局 域 网 内 上 网 ,而 在 同一 个 局 域 网 内 
可 能 存在 很 多 想 一 试 身 手 的 黑客 。 

139 端口 是 经 常 被 黑客 利用 Windows 系统 的 IPC 漏洞 进行 攻击 的 端口 ,用 户 可 以 对 通 
过 这 个 端口 传输 的 数据 进行 监听 或 拦截 ,规则 是 : 名 称 可 定 为 139 端口 监听 ,外 来 地 址 设 
为 任何 地 址 ,在 TCP 协议 的 本 地 端口 可 填写 从 139 到 139 ,通行 方式 可 以 是 通行 并 记录 ， 
也 可 以 是 拦截 ,这 样 就 可 以 对 这 个 端口 的 TCP 数据 进行 操作 。445 端口 的 数据 操作 与 此 
类 似 。 

如 果 用 户 知道 某 个 木马 或 病毒 的 工作 端口 ,就 可 以 通过 设置 IP 规则 封闭 这 个 端口 。 方 
法 是 : 增加 IP 规则 ,在 TCP 或 UDP 协议 中 ,将 本 地 端口 设 为 从 该 端口 到 该 端口 ,对 符合 该 
规则 的 数据 进行 拦截 ,就 可 以 起 到 防范 该 木马 的 效果 。 

增加 木马 工作 端口 的 数据 拦截 规则 ,是 IP 规则 设置 中 最 重要 的 一 项 技术 。 

实验 报告 要 求 

。 实验 目的 。 

附 上 实验 过 程 的 截图 和 结果 截图 。 
阐述 遇 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 


6.3 瑞星 防火 增 实验 


实验 器 材 


瑞星 防火 墙 个 人 版 软件 系统 ,1 套 。 
PC( Windows XP/Windows 7).1 #. 
预习 要 求 


(1) 做 好 实验 预习 ,复习 防火 墙 技术 的 有 关内 容 。 
(2) 熟悉 瑞星 防火 墙 的 使 用 方法 。 
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(3) 熟悉 实验 过 程 和 基本 操作 流程 。 
(4) 做 好 预习 报告 。 
实验 任务 


通过 本 实验 ,掌握 以 下 技能 : 
(1) 学 会 瑞星 防火 墙 的 安装 及 基本 配置 。 
(2) 学 会 利用 瑞星 防火 墙 保护 系统 安全 。 


实验 环境 
装 有 Windows XP/Windows 7 操作 系统 的 PC。 
预备 知识 


CD 防火 墙 技术 及 原理 。 

(2) 网 络 协议 。 

实验 步骤 

1. 启动 瑞星 个 人 防火 墙 软件 

采用 下 列 方法 之 一 可 以 启动 瑞星 个 人 防火 墙 软件 ,启动 后 的 界面 如 图 6. 3. 1 所 示 。 
CD 双击 桌面 上 的 “瑞星 个 人 防火 墙 ?快捷 图 标 即 可 启动 。 

(2) 单 击 “ 开 始 ” 按 钮 ,选择 “程序 ”>“ 瑞 星 个 人 防火 墙 *->“ 瑞 星 个 人 防火 墙 * 即 可 启动 。 
提示 : 一 般 情况 下 ,瑞星 个 人 防火 墙 在 系统 启动 时 将 自动 启动 。 


系统 状态 
系统 工作 于 常规 模式 ， 访 问 规则 中 没有 规定 动作 的 程序 在 访问 网 络 时 ， 会 提示 用 户 。 


爱 攻击 信息 
系统 启动 以 来 ， 还 没有 发 现 对 系统 的 攻击 。 
P 追踪 位 置 | 国 更 多 信息 J 


当前 活动 程序 CIT6IMHddeeé g 
系统 漏洞 信息 ”您 的 系统 目前 存在 6 个 不 安全 设置 


接 Lig] 
发 送 Lig] 


当前 版 本 : 19.22.20 更 新 日 期 2007-05-09 


图 631 瑞星 个 人 防火 墙 软件 主 界面 
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2. 设置 安全 级 别 

在 防火 墙 程序 主 界面 的 右 下 角 , 拖 动 滑 块 移动 到 最 右 侧 , 即 可 设 定安 全 级 别 为 “高 级 ” 

提示 : 关于 安全 级 别 的 定义 及 规则 如 下 。 

。 普通 : 系统 在 信任 的 网 络 中 ,除非 规则 禁止 的 ,否则 全 部 放 过 。 

。 中 级 ; 系统 在 局 域 网 中 ,默认 允许 共享 ,但 是 禁止 一 些 较 危险 的 端口 。 

。 高 级 : 系统 直接 连接 Internet, 除 非 规则 放行 ,否则 全 部 拦截 。 

3. 扫描 木马 病毒 

在 防火 墙 程 序 主 界面 菜单 栏 中 选择 “操作 ”一 “扫描 木马 病毒 ”命令 。 将 在 屏幕 右 下 角 弹 
出 扫描 窗口 ,扫描 结束 后 将 给 出 提示 , 单 击 提示 框 中 的 “详细 信息 ”按钮 可 以 查看 具体 的 扫描 
结果 日 志 。 


4. 黑 、 白 名 单 的 设置 

D 黑 名 单 的 设置 

黑 名 单 用 于 设置 禁止 与 本 机 通信 的 计算 机 列表 ,例如 ,可 以 把 攻击 本 机 的 计算 机 加 入 此 
名 单 。 选 择 菜单 “设置 "一 “详细 设置 ”命令 ,打开 
“详细 设置 "对话 框 ; 单 击 “ 规 则 设置 ”下 的 “ 黑 名 


» “ 增 mu i 出 Al 6. 3. 示 的 masse: [ | 
单 ”; 单 击 “ 增 加 规则 ”按钮 ,弹出 如 图 6. 3. 2 所 示 的 moon 


增加 黑 名 单 


“增加 黑 名 单 ” 对 话 框 。 在 “地 址 类 型 * 下 拉 式 列表 
框 中 选择 “特定 地 址 ”或 “地 址 范围 ”在 “输入 地 址 ” 
文本 框 中 输入 被 禁止 与 本 机 通讯 的 IP 地 址 。 单 击 
“保存 ”按钮 , 即 可 完成 设置 。 

2) 白 名 单 的 设置 

白 名 单 用 于 设置 完全 信任 的 计算 机 列表 ,列表 
中 的 计算 机 对 本 机 有 完全 访问 权限 。 具 体操 作 参 
见 黑 名 单 的 设置 。 

5. 修改 应 用 程序 访问 网 络 的 访问 规则 

(1) 选择 菜单 “设置 ”一 详细 设置 命令 ,打开 “详细 设置 ”对 话 框 。 

(2) 选择 “规则 设置 ”下 的 “访问 规则 ”命令 ,打开 如 图 6.3. 3 所 示 的 对 话 框 。 

(3) 允许 或 禁止 应 用 程序 访问 网 络 。 

在 程序 列表 框 中 选择 一 个 应 用 程序 ,如 Telnet; 单 击 “ 编 辑 规则 ”按钮 ,弹出 如 图 6. 3.4 
所 示 的 “编辑 访问 规则 ”对 话 框 ,在 “常规 模式 ”下 选择 “禁止 ”, 单 击 “ 保 存 ” 按 钮 , 即 可 禁止 
Telnet 程序 访问 网 络 。 


实验 报告 要 求 


。 实 验 目 的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
阐述 遇 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 


输入 地 址 : [0.0.0.0 


图 632 MRA SB” Wise 
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图 633  "ÉdHE EU Mia 


: 
Telnet 
程序 路 径 : c:\windows\system32\tlntsvr. exe 


公司 名 称 : Microsoft Corporation 
文件 版 本 : 5. 1. 2600.2180 Gxpsp sp2 rtm.040803-2158) 
所 尾 类 别 : | 系统 软件 [=] 


SORS: 发 送 邮 件 : 
L] 启用 防 答 改 保护 


图 634 ”编辑 访问 规则 "对话 框 


6.4 防火墙 评 测 实 验 


实验 器 材 


天 网 防火 墙 软件 系统 ,1 套 。 
瑞星 防火 墙 软件 系统 ,1 套 。 
江 民 防火 墙 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 台 。 
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预习 要 求 


CD 做 好 实验 预习 ,复习 防火 墙 技术 的 有 关内 容 。 
(2) 熟悉 天 网 防火 墙 等 多 种 防火 墙 的 使 用 方法 。 
(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 


通过 本 实验 ,掌握 以 下 技能 : 
(1) 掌握 主流 防火 墙 的 性 能 。 
(2) 掌握 主流 防火 墙 的 功能 。 


实验 环境 

装 有 Windows XP/Windows 7 操作 系统 的 PC。 
预备 知识 

防火 墙 技术 及 原理 。 

Se p E 


(1) 完整 记录 天 网 防火 墙 和 瑞星 防火 墙 控制 的 实验 内 容 。 

(2) 从 6.1.2 节 中 选择 第 三 种 防火 墙 , 或 自行 确定 另外 一 种 类 型 的 软件 防火 墙 ,进行 控 
制 实验 。 

(3) 确定 防火 墙 的 性 能 功能、 特定 功能 3 个 方面 作为 评测 分 析 报 告 的 主体 ; 

(4) 撰写 并 完成 评测 分 析 报 告 。 

实验 报告 要 求 

。 实验 目的 。 

* 附 上 实验 过 程 的 截图 和 结果 截图 。 
阐述 遇 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 
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第 7 童 入 侵 检测 实验 


随 着 技术 的 发 展 ,网 络 日 趋 复 杂 , 正 是 由 于 传统 防火 墙 所 暴露 出 来 的 不 足 和 弱点 , 才 引 
发 了 人 们 对 入 侵 检测 系统 技术 的 研究 和 开发 。 网 络 入 侵 检 测 系 统 可 以 弥补 防火 墙 的 不 足 ， 
为 网 络 安全 提供 实时 的 入 侵 检测 及 采取 相应 的 防护 手段 。 入 侵 检 测 技 术 是 近 20 年 来 出 现 
的 一 种 主动 保护 自己 免 受 黑客 攻击 的 新 型 网 络 安全 技术 。 从 系统 运行 过 程 中 产生 的 或 系统 
所 处 理 的 各 种 数据 中 查找 出 威胁 系统 安全 的 因素 ,并 对 威胁 做 出 相应 的 处 理 ,就 称 为 人 侵 检 
测 。 响 应 的 软件 或 硬件 称 为 和 人 侵 检测 系统 。 入 侵 检 测 系统 被 称 为 防火 墙 之 后 的 第 二 道 防 
线 , 它 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进行 检测 ,提供 对 内 部 攻击 和 外 部 攻击 的 实时 
防范 。 


7.1 入 侵 检 测 原理 


7.1.1 入 侵 检 测 步 又 


入 侵 检测 一 般 分 为 两 个 步骤 : 信息 收集 和 数据 分 析 。 

入侵 检测 的 第 一 步 是 信息 收集 ,内 容 包 括 系统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 。 
入 侵 检测 利用 的 信息 一 般 来 自 以 下 4 个 方面 : 系统 日 志 、 目 录 以 及 文件 中 的 异常 改变 ,程序 
执行 中 的 异常 行为 和 物理 形式 的 入侵 信息 。 

(1) 系统 日 志 。 利 用 系统 日 志 是 检测 人 侵 的 必要 条 件 。 日 志文 件 中 记录 了 各 种 类 型 的 
行为 ,每 种 类 型 又 包含 不 同 的 信息 ,对 用 户 活 动 来 讲 , 不 正常 的 或 不 期 望 的 行为 是 重复 登录 
失败 以 及 非 授 权 访 问 重要 文件 等 。 

(2) 目录 以 及 文件 异常 。 网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 ,包含 重要 
信息 的 文件 和 私有 数据 文件 经 常 是 被 修改 或 破坏 的 目标 。 

(3) 程序 执行 异常 。 网 络 系统 上 的 程序 执行 一 般 包括 操作 系统 、 网 络 服务 ,用户 启动 的 
程序 和 应 用 。 每 个 在 系统 上 执行 的 程序 由 一 到 多 个 进程 来 实现 。 每 个 进程 执行 在 具有 不 同 
权限 的 环境 中 ,这 种 环境 控制 着 进程 可 访问 的 系统 资源 .程序 和 数据 文件 等 。 

(4) 物理 形式 的 入 侵 信息 。 分 为 两 种 情况 ,一 是 未 授权 的 网 络 硬件 连接 ,二 是 物理 资源 
的 未 授权 访问 。 


7.1.2. 检测 技术 特点 


在 使 用 入 侵 检测 技术 时 ,应 该 注意 ,具有 以 下 技术 特点 的 应 用 要 根据 具体 情况 进行 
选择 : 
(1) 信息 收集 分 析 时 间 : 可 分 为 固定 时 间 间 隔 和 实时 收集 分 析 两 种 。 
采用 固定 时 间 间 隔 方法 ,在 固定 间隔 的 时 间 段 内 收集 和 分 析 这 些 信息 ,这 种 技术 适用 于 
对 安全 性 能 要 求 较 低 的 系统 ,对 系统 的 开销 影响 较 小 ;但 这 种 技术 的 缺点 是 在 时 间 间 隔 内 将 
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失去 对 网 络 的 保护 。 

采用 实时 收集 和 分 析 技 术 可 以 实时 地 抑制 攻击 ,使 系统 管理 员 及 时 了 解 并 阻止 攻击 , 系 
统管 理 员 也 可 以 记录 黑客 的 信息 ;缺点 是 加 大 了 系统 开销 。 

(2) 采用 的 分 析 类 型 : 分 为 签名 分 析 、 统 计 分 析 和 完整 性 分 析 。 

签名 分 析 就 是 与 攻击 数据 库 中 的 系统 设置 和 用 户 行为 模式 进行 匹配 。 在 许多 入 侵 检测 
系统 中 建 有 这 种 已 知 攻击 的 数据 库 。 这 种 数据 库 可 以 经 常 更 新 ,以 对 付 新 的 威胁 。 签 名 分 
析 的 优点 在 于 能 够 有 针对 性 地 收集 系统 数据 ,减少 了 系统 的 开销 ,如 果 数 据 库 不 是 特别 大 ， 
那么 签名 分 析 比 统计 分 析 更 为 有 效 。 

统计 分 析 用 来 发 现 偏离 正常 模式 的 行为 ,通过 分 析 正 常 应 用 的 属性 得 到 系统 的 统计 特 
征 ,对 每 种 正常 模式 计算 出 均值 和 偏差 , 当 检 测 到 有 的 数值 偏离 正常 值 时 ,就 会 发 出 报警 信 
号 。 这 种 技术 可 以 发 现 未 知 的 攻击 ,尤其 是 复杂 的 攻击 ,但 统计 传感器 误 码 率 较 大 。 

完整 性 分 析 主 要 关注 某 些 文件 和 对 象 的 属性 是 否 发 生 了 变化 。 完 整 性 分 析 通 过 被 称 为 
消息 摘录 算法 的 超 强加 密 机 制 , 可 以 感受 到 微小 的 变化 。 这 种 分 析 可 以 检测 到 任何 使 文件 
发 生变 化 的 攻击 ,弥补 了 签名 分 析 和 统计 分 析 的 缺陷 ,但 是 这 种 分 析 的 实时 性 很 差 。 

(3) 对 攻击 和 误 用 的 反应 : 有 些 基 于 网 络 的 检测 系统 可 以 针对 检测 到 的 问题 作出 反 
应 。 这 些 反应 主要 有 改变 环境 ,效用 检验 和 实时 通知 等 。 改 变 环 境 通 常 包括 关闭 连接 和 重 
新 设置 系统 。 由 于 改变 了 系统 的 环境 ,因此 可 以 通过 设置 代理 和 审计 机 制 获得 更 多 的 信息 ， 
从 而 跟踪 黑客 。 许 多 实时 系统 还 允许 管理 员 选 择 一 种 预警 机 制 , 把 发 生 的 问题 实时 地 送 往 
各 个 地 方 。 

(4) 管理 和 安装 : 用 户 采 用 检测 系统 时 ,需要 根据 本 网 的 一 些 具体 情况 而 定 。 实 际 上 ， 
没有 两 种 完全 相同 的 网 络 环境 ,因此 ,就 必须 对 采用 的 系统 进行 配置 。 比 如 ,可 以 配置 系统 
的 网 络 地 址 、 安 全 条 目 等 。 某 些 基于 主机 的 检测 系统 还 提供 友好 的 用 户 界面 ,让 用 户 说 明 要 
传感器 采集 哪些 信息 。 


7.1.3 Snort 简介 


Snort 是 Martin Roesch 等 人 开发 的 一 种 用 C 语言 编写 的 开放 源码 的 入侵 检测 系统 。 
Martin Roesch 把 Snort 定位 为 一 个 轻 量 级 的 、 跨 平台 支持 多 操作 系统 的 人 侵 检测 系统 。 
它 具 有 实时 数据 流量 分 析 和 IP 数据 包 日 志 分 析 的 能 力 ,具有 跨 平台 特征 ,能 够 进行 协议 分 
析 和 对 内 容 的 搜索 /匹配 。 它 能 够 检测 不 同 的 攻击 行为 ,如 缓冲 区 溢出 、 端 口 扫 描 、DoS 攻击 
等 ,并 进行 实时 报警 。Snort 可 安装 在 网 络 上 的 一 台 主 机 上 对 整个 网 络 进行 监视 。 

Snort 由 3 个 子 系统 构成 : 数据 包 解 码 器 .检测 引 擎 .日 志 与 报警 系统 。 在 使 用 Snort 
之 前 ,需要 根据 网 络 环境 和 安全 策略 对 Snort 进行 配置 ,主要 包括 : 设置 网 络 变量 ,配置 预 
处 理 器 (preprocessors) ,配置 输出 插件 ,配置 所 使 用 的 规则 集 。 在 入 侵 检测 过 程 中 采用 了 规 
则 匹配 的 检测 方法 ,所 以 误 码 报 率 较 低 。 

Snort 有 3 种 工作 模式 : 嗅 探 器 数据 包 记 录 器 和 网 络 人 侵 检 测 系 统 。 嗅 探 器 模式 仅仅 
是 从 网 络 上 读 取 数据 包 并 作为 连续 不 断 的 流 显 示 在 终端 上 上。 数据 包 记 录 器 模式 把 数据 包 记 
录 到 硬盘 上 。 网 络 人 侵 检 测 模式 是 最 复杂 的 ,而 且 是 可 配置 的 。 可 以 让 Snort 分 析 网 络 数 
据 流 以 匹配 用 户 定 义 的 一 些 规 则 ,并 根据 检测 结果 采取 一 定 的 动作 。 
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7.1.3.1 功能 特征 


虽然 Snort 是 一 个 轻 量 级 的 入 侵 检测 系统 ,但 是 它 的 功能 却 非常 强大 ,其 特点 如 下 。 

1. 跨 平台 性 

Snort 可 以 支持 Linux, Solaris, UNIX 和 Windows 系列 等 平台 ,而 大 多 数 商 用 入 侵 检 
测 软件 只 能 支持 一 两 种 操作 系统 ,甚至 需要 特定 的 操作 系统 。 

2. 功能 完 

Snort 具有 实时 流量 分 析 的 能 力 ,能 够 快速 地 监测 网 络 攻击 ,并 能 及 时 地 发 出 警报 。 使 
用 协议 分 析 和 内 容 匹 配 的 方式 ,提供 了 对 TCP, UDP, ICMP 等 协议 的 支持 ,对 缓冲 区 溢出 、 
隐蔽 端口 扫描 `CGI 4448 ,SMB 探测 和 操作 系统 指纹 特征 扫描 等 攻击 都 可 以 检测 。 

3. 使 用 插件 的 形式 

Snort 方便 管理 员 根据 需要 调用 各 种 插件 模块 ,包括 输入 插件 和 输出 插件 。 输 入 插件 
主要 负责 对 各 种 数据 包 的 处 理 ,具备 传输 层 连接 恢复 .应 用 层 数据 提取 、 基 于 统计 的 数据 包 
异常 检测 的 功能 ,从 而 拥有 很 强 的 系统 防护 功能 ,如 使 用 TCP 流 插件 ,可 以 对 TCP 包 进 行 
重组 。 

输出 插件 则 主要 用 来 将 检测 到 的 报警 以 多 种 方式 输出 ,通过 输出 插件 可 以 输出 
MySQL SQL 等 数据 库 中 ,还 可 以 以 XML 格式 输出 ,也 可 以 把 网 络 数据 保存 到 TCPDump 
格式 的 文件 中 。 按 照 其 输出 插件 规范 ,用 户 甚 至 可 以 自己 编写 插件 ,自己 来 处 理 报警 的 方式 
并 进而 作出 响应 ,从 而 使 Snort 具有 非常 好 的 可 扩展 性 和 灵活 性 。 

4. Snort 规则 描述 简单 

Snort 基于 规则 的 检测 机 制 十 分 简单 和 灵活 ,使 得 可 以 迅速 对 新 的 入 侵 行为 做 出 反应 ， 
发 现 网 络 中 潜在 的 安全 漏洞 。 同 时 该 网 站 提供 几乎 与 http://www. cert. org( 应 急 响 应 中 
心 ,负责 全 球 的 网 络 安全 事件 以 及 漏洞 的 发 布 ) 同 步 的 规则 库 更 新 ,因此 甚至 许多 商业 的 人 
侵 检测 软件 直接 就 使 用 Snort 的 规则 库 。 图 7.1. 1 显示 了 Snort 的 系统 组 成 和 数据 处 理 
流程 。 


数据 包 捕 获 函 数 库 
Libpcap/Winpcap 


数据 包 解码 器 


Decoder 


一 一 


预 处 理 器 


Preprocessor 


———— 


检测 引擎 L— ——* 
Detection Engine “| 王 —— — —3À 


输出 插件 
Output plug 


二 维 规则 链表 匹配 


图 711 Short 程序 流程 图 
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D 数据 包 捕获 库 

基于 网 络 的 人 侵 检 测 系统 需要 捕获 并 分 析 所 有 传输 到 监控 网 卡 的 网 络 数据 ,这 就 需要 
包 捕 获 技 术 。Snort 通过 两 种 机 制 来 实现 包 捕获 ,其 一 是 将 网 卡 设 置 为 混杂 模式 ,其 二 是 利 
用 Libpcap/Winpcap 函数 库 从 网 卡 捕获 网 络 数据 包 。 

数据 包 捕获 函数 库 是 一 个 独立 的 软件 工具 ,能 直接 从 网 卡 获取 数据 包 。 该 函数 库 是 由 
Berkeley 大 学 Lawrence Berkeley National Laboratory 研究 院 开 发 ,Libpcap 支持 所 有 基于 
可 移植 操作 系统 接口 (Portable Operating System Interface of UNIX,POSIX) 的 操作 系统 ， 
如 Linux、UNIX 等 ,后 来 为 支持 跨 平 台 特 性 , 又 开发 了 Windows MÆ (http://www. 
winpcap. org) . Windows 下 和 Linux 的 函数 调用 几乎 完全 相同 ,Snort 就 是 通过 调用 该 库 函 
数 从 网 络 设 备 上 捕获 数据 包 。 

2) 数据 包 解 码 融 

数据 包 解 码 器 主要 是 对 各 种 协议 栈 上 的 数据 包 进行 解析 、 预 处 理 , 以 便 提 交 给 检测 引擎 

进行 规则 匹配 。 解 码 器 运行 在 各 种 协议 栈 之 上 ,从 数据 链 路 层 到 传输 层 , 最 后 到 应 用 层 , 因 
为 当前 网 络 中 的 数据 流速 度 很 快 , 如 何 保障 较 高 的 速度 是 解码 器 子 系统 中 的 一 个 重点 。 目 
前 ,Snort 解码 器 所 支持 的 协议 包括 Ethernet, SLIP fil PPP 等 。 

3) 预 处 理 咒 

预 处 理 模块 的 作用 是 对 当前 截获 的 数据 包 进 行 预先 处 理 , 以 便 后 续 处 理 模块 对 数据 包 
的 处 理 操 作 。 由 于 最 大 数据 传输 单元 (MTU) 限 制 及 网 络 延 迟 等 问题 ,路 由 器 会 对 数据 包 进 
行 分 片 处 理 。 但 是 恶意 攻击 者 也 会 故意 发 送 经 过 软件 加 工 过 的 数据 包 , 以 便 把 一 个 带 有 攻 
击 性 的 数据 包 分 散 到 各 个 小 的 数据 包 中 ,并 有 可 能 打 乱 数据 包 的 传输 次 序 ,分 多 次 传输 到 目 
标 主 机 。 因 此 ,对 异常 数据 包 的 处 理 也 是 入 侵 检测 系统 的 重要 内 容 。 

预 处 理 器 主要 包括 以 下 功能 : 
模拟 TCP/IP 堆栈 功能 的 插件 ,如 IP 碎片 重组 和 TCP 流 重组 插件 。 

各 种 解码 插件 ,包括 HTTP 解码 插件 、Unicode 解码 插件 、RPC 解码 插件 和 Telnet 
解码 插件 等 。 

规则 匹配 无 法 进行 攻击 检测 时 所 用 的 插件 ,包括 端口 扫描 插件 ,Spade 异常 入 侵 检 
测 插件 、Bo 检测 插件 和 ARP 欺骗 检测 插件 等 。 根 据 各 预 处 理 持 件 文件 名 可 对 此 插 
件 功能 做 出 推断 。 

4) 检测 引擎 

检测 引擎 是 入侵 检测 系统 的 核心 内 容 ,Snort 用 一 个 二 维 链表 存储 它 的 检测 规则 ,其 中 
一 维 称 为 规则 头 , 另 一 维 称 为 规则 选项 。 规 则 头 中 放置 的 是 一 些 公 共 属 性 特征 ,而 规则 选项 
中 放置 的 是 一 些 人 侵 特 征 。Snort 从 配置 文件 读 取 规则 文件 的 位 置 ,并 从 规则 文件 读 取 规 
则 ,存储 到 二 维 链表 中 。 

Snort 的 检测 就 是 二 维 规则 链表 和 网 络 数据 匹配 的 过 程 , 一 旦 匹配 成 功 则 把 检测 结果 
输出 到 输出 插件 。 为 了 提高 检测 速度 ,通常 把 最 常用 的 源 /目的 IP 地 址 和 端口 信息 放 在 规 
则 头 链表 中 ,而 把 一 些 独特 的 检测 标志 放 在 规则 选项 链表 中 。 规 则 匹配 查找 采用 递归 的 方 
法 进行 ,检测 机 制 只 针对 当前 已 经 建立 的 链表 选项 进行 检测 , 当 数 据 包 满足 一 个 规则 时 ,就 
会 触发 相应 的 操作 。Snort 的 检测 机 制 非常 灵活 ,用 户 可 以 根据 自己 的 需要 很 方便 地 在 规 
则 链表 中 添加 所 需要 的 规则 模块 。 数 据 包 匹配 算法 采用 经 典 匹 配 算法 一 一 多 模式 匹配 算法 
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CAC-BMD ,采用 二 维 链表 和 经 典 匹 配 算法 都 是 为 了 提高 与 网 络 数据 包 的 匹配 速度 ,从 而 提 
高 人 侵 检测 速度 。 

5. 日 志和 报警 子 系统 

日 志和 报警 子 系统 可 以 在 运行 Snort 的 时 候 以 命令 行 交 互 的 方式 进行 选择 ,如 果 在 运 
行 时 指定 了 命令 行 的 输出 开关 ,在 Snort 规则 文件 中 指定 的 输出 插件 会 被 替代 。 现 在 可 供 
选择 的 日 志 形 式 有 3 种 ,报警 形式 有 6 种 。Snort 可 以 把 数据 包 以 解码 后 的 文本 形式 或 者 
TCPDump 的 二 进 制 形式 进行 记录 。 解 码 后 的 格式 便于 系统 对 数据 进行 分 析 , 而 
TCPDump 格式 可 以 保证 很 快 地 完成 磁盘 记录 功能 。 第 三 种 日 志 机 制 就 是 关闭 日 志 服 务 ， 
什么 也 不 做 。 使 用 数据 库 输出 插件 ,Snort 可 以 把 日 志 记 入 数据 库 , 当前 支持 的 数据 库 包 括 
PostgreSQL, MySQL Oracle 以 及 UNIX ODBC 数据 库 。 


7.1.3.2 基本 操作 


1. 启动 
Snort 作为 网 络 人 侵 检测 系统 ,使 用 下 面 的 命令 行 可 以 启动 这 种 模式 : 


Snort - dev - 1 log -h 192.168.1.0/24 - c Snort.conf 


Snort 会 对 每 个 包 和 规则 集 进 行 匹 配 ,发 现 这 样 的 包 就 会 根据 规则 的 设置 采取 相应 
行动 。 如 果 不 指 定 输出 目录 ,Snort 就 输出 到 /var/log/Snort 目录 。 
也 可 以 采用 如 下 简单 的 命令 方式 : 


Snort - i 2 -c Snort.conf 


其 中 1 选项 为 选择 网 卡 ,监控 的 网 络 设置 以 及 输出 方式 的 设置 都 在 Snort. conf 中 。 

2. 输出 

在 网 络 人 侵 检测 模式 下 ,有 多 种 方式 来 配置 Snort 的 输出 。 在 默认 情况 下 ,Snort 以 
ASCII 格式 记录 日 志 , 使 用 full 报警 机 制 。 

Snort 有 6 种 报警 机 制 : full, fast. socket, syslog,smb(winpopup) fll none。 其 中 以 下 
4 个 可 以 在 命令 行 状态 下 使 用 -A 选项 设置 。 

-A fast: 报警 信息 包括 一 个 时 间 戳 (timestamp)、 报 警 消息 、. 源 /目的 TP 地 址 和 端口 。 

-A full; 是 默认 的 报警 模式 。 

-A unsock: 使 Snort 将 报警 信息 通过 UNIX 的 套 接 字 发 往 一 个 负责 处 理 报警 信息 的 
主机 ,在 该 主机 上 有 一 个 程序 在 套 接 字 上 进行 监听 。 

-A none: 关闭 报警 机 制 。 

3. 规则 集 

规则 集 是 Snort 的 攻击 特征 库 , 每 条 规则 是 一 条 攻击 标识 ,Snort 通过 它 来 识别 攻击 行 
H. Snort 使 用 一 种 简单 的 、 轻 量 级 的 规则 描述 语言 ,这 种 语言 灵活 而 强大 。 一 条 Snort 规 
则 可 以 从 逻辑 上 分 为 两 个 部 分 ,规则 头 ( 括 号 左边 的 内 容 ) 和 规则 选项 (括号 内 的 内 容 ) 。 

规则 头 包 含 匹配 的 行为 动作 .协议 类 型 LU. IP 及 端口 .数据 包 方向 .目标 IP 及 端口 。 动 
作 包 括 3 类 : 报警 (Alert) .日 志 (Log) 和 通行 (Pass) ,表明 Snort 对 包 的 3 种 处 理 方式 ,其 中 
最 常用 的 就 是 alert 动作 , 它 会 向 报警 日 志 中 写 人 报警 信息 

在 源 .目的 地 址 和 端口 中 可 以 使 用 any 来 代表 任意 的 地 址 或 端口 ,还 可 以 使 用 符号 ! 来 
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表明 取 非 运算 IP 地 址 可 以 被 指定 为 一 个 CIDR 的 地 址 块 , 端 口 也 可 以 指定 一 个 范围 ,在 
目的 和 源 地 址 之 间 可 以 使 用 标识 符 “<-” 和 “->” 来 指明 方向 。 

规则 的 选项 部 分 是 一 个 或 几 个 选项 的 组 合 ,选项 之 间 用 “;” 分 隔 , 选 项 关键 字 和 值 之 间 
使 用 “:” 分 隔 。 对 规则 选项 的 分 析 构 成 了 Snort 检测 引擎 的 核心 。 主 要 可 以 分 为 4 类 : 数 
据 包 相 关 各 种 特征 的 说 明 选 项 .与 规则 本 身 相 关 的 一 些 说 明 选 项 .规则 匹配 后 的 动作 选项 、 
对 某 些 选项 的 进一步 修饰 。 

下 面 是 一 个 规则 范例 : 


alert tœ any any -> 192.168.1.0/24 111 (amtent:"| 00 01 86 a5|"; msg: "mantd access";) 


该 规则 表示 监控 的 网 络 数据 的 协议 为 TCP 协议 , 源 地 址 和 源 端口 为 任意 值 ,方向 为 由 外 向 
内 ,内 部 的 网 络 地 址 为 子 网 192. 168. 1. 0/24 ,端口 号 为 111, 当 发 现 数据 包 中 有 “00 01 86 
a5" AX , Snort 会 发 送 报警 信息 mountd access, 


7.2 入 侵 检 测 实验 


实验 器 材 


Snort 软件 系统 ,1 E. 
PC(Windows XP/Windows 7),1 台 。 


预习 要 求 


(1) 做 好 实验 预习 ,复习 入 侵 检测 技术 的 有 关内 容 。 
(2) 熟悉 Snort 软件 的 使 用 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,掌握 安装 并 运行 一 个 Snort 系统 的 技能 ,了 解 和 人 侵 检测 系统 的 作用 和 功能 。 
实验 环境 

装 有 Windows XP/Windows 7 操作 系统 的 PC 一 台 

预备 知识 

入 侵 检 测 原理 

实验 步 又 


1. 需要 的 组 件 以 及 其 作用 和 功能 

以 下 是 本 实验 涉及 的 各 组 件 的 功能 介绍 

(D Winpcap: Windows 环境 下 的 捕获 网 络 数据 包 驱 动 程序 库 , 下 载 地 址 为 http:// 
www. winpcap. org/。 
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(2) Snort: 入 侵 检测 主 程序 ,网 站 提供 Windows 下 的 安装 版 本 ,可 以 直接 下 载 安装 , 源 
代码 在 Linux 下 可 以 直接 编译 生成 ,Windows 下 使 用 Visual Studio 系列 的 编译 器 ,在 工程 
设置 中 ,将 几 个 预 处 理 设 置 禁止 ,可 以 编译 通过 ,同时 需要 下 载 Snort 规则 。 下 载 地 址 为 
http://www. snort. org/. 

(3) Apache: 为 系统 提供 了 Web 服务 支持 ,下 载 地 址 为 http://www. apache. org/. 

(4) PHP: 为 系统 提供 了 PHP 支持 ,使 Apache 能 够 运行 PHP 程序 ,下 载 地 址 为 
http://www. php. net/ 。 

(5) MySQL: 存储 各 种 报警 事件 的 数据 库 系统 ,下 载 地 址 为 http://www. mysql. com/。 

(6) ACID: ACID(Analysis Console for Intrusion Databases) 是 基于 PHP 的 入 侵 检 测 
数据 库 分 析 控 制 台 , 它 能 够 处 理由 各 种 入 侵 检 测 系 统 防火 墙 等 安全 工具 产生 并 放 入 数据 库 
中 的 安全 事件 ,安装 PHP 就 是 为 使 用 ACID, 下 载 地 址 为 http://acidlab. sourceforge. net/。 

(7) Adodb: 是 PHP 连接 数据 库 的 组 件 , 下 载 地 址 为 http://adodb. sourceforge. net/。 

(8) Jpgraph: 由 PHP 编写 的 基于 面向 对 象 技术 的 图 形 显示 链接 库 ,ACID 通过 Adodb 
读 取 Snort 在 MySQL 中 产生 的 数据 ,将 分 析 结 果 显 示 在 网 页 上 ,并 使 用 Jpgraph 组 件 对 其 
进行 图 形 化 显示 分 析 。 下 载 地 址 为 http://www. aditus. nu/jpgraph/. 

2. 实验 具体 步骤 

1) 安装 Apache 服务 器 

(1) 双击 httpd-2. 2.17-win32-x86-no_ssl. msi。 

(2) 出 现 Windows 标准 的 软件 安装 欢迎 界面 ,直接 单 击 Next 按钮 继续 ,出 现 授权 协 
议 ,选择 同意 授权 协议 ,然后 继续 ,出 现 安装 说 明 。 

(3) 在 Network Domain 文本 框 中 填写 网 络 域名 ,如 kysf. net, 如果 没有 网 络 域名 ,可 以 
任意 填写 。 如 果 架 设 的 Apache 服务 器 要 放 和 人 Internet , 则 一 定 要 填写 正确 的 网 络 域名 。 在 
Server Name 文本 框 中 填 人 服务 器 名 ,如 www. kysf. net, 即 主机 名 。 在 Administrator’s 
Email Address 文本 框 中 填写 系统 管理 员 的 电子 邮件 地 址 ,如 indian@163. com, Lik 3 条 
信息 仅 供 参考 ,其 中 电子 邮件 地 址 会 在 系统 出 现 故障 时 将 相关 信息 提供 给 访问 者 。Apache 
服务 器 安装 界面 如 图 7. 2. 1 所 示 。 

T0007 


Server Information 
Please enter your server's information. 


Network Domain (e.g. somenet.com) 
localhost 


Server Name (e.g. www.somenet.com): 
localhost 


Administrator's Email Address (e.g. webmaster @somenet.com): 
[793144750@qq.com 
Install Apache HTTP Server 2.2 programs and shortcuts for: 


© for All Users, on Port 80, as a Service — Recommended. 
@ only for the Current User, on Port 8080, when started Manually. 


InstallShield 


__ <Back Cancel 
A721 Apache 安 装 界面 
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(4) 确认 安装 选项 无 误 , 如 果 要 再 检查 一 遍 , 可 以 单 击 Back 按钮 返回 检查 。 单 击 Next 
按钮 开始 安装 。 

(5) 检测 方法 : 若 选择 端口 8080 ,使 用 httpd -k install 命令 将 Apache 设置 为 Windows 
中 的 服务 (如 果 是 Apache2. 2 之 前 的 版 本 ,输入 apache -k install) ,如 图 7. 2. 2 所 示 ; 若 选择 
端口 80 , 则 无 须 执 行 该 步骤 。 


e started. 


d domain name, us 


图 722 8080 端 口 检 测 界 面 


(6) 通过 上 述 方式 ,在 DOS 或 者 浏览 器 下 运行 , 均 显示 启动 成 功 。 

选择 定制 安装 ,安装 在 默认 文件 夹 CiNapache 下 。 安 装 程序 会 在 该 文件 夹 下 自动 产生 
个 子 文件 夹 apache2 继续 完成 安装 。 如 图 7. 2. 3 所 示 , 打 开 配 置 文件 C:\apache\apache2\ 
conf\httpd. conf (根据 版 本 不 同 ,可 能 是 C:\apache\conf\httpd. conf) ,将 其 中 的 Listen 
8080 更 改 为 Listen 50080。 这 是 由 于 Windows IIS 中 的 Web 服务 器 默认 情况 下 在 TCP 80 
端口 监听 连接 请 求 , 而 8080 端口 一 般 留 给 代理 服务 器 使 用 ,所 以 为 了 避免 Apache Web Jik 
务 器 的 监听 端口 与 其 发 生 冲突 ,将 Apache Web 服务 器 的 监听 端口 修改 为 不 常用 的 高 端 端 
口 50080。 如 果 安 装 的 时 候 80 端口 未 被 占用 , 则 无 须 修改 端口 。 


- nix 

i) WB 
M Change this to Listen on specific IP addresses as shown below to 到 
# prevent Apache from glomming onto all bound IP addresses (0.0.0.0) m 


" 
IHListen 12.34.56.78:80 
Listen 50080 


# 
# Dynamic Shared Object (DSO) Support 


图 723 Apache 配置 界面 
选择 “开始 ”>“ 运 行 ”, 输 入 cmd, 进 入 命令 行 方式 。 输 入 下 面 的 命令 : 
c:\> cd apache\apache2\bin 
c: NapacheNVapache2NbinNapache - k install 
这 是 将 apache 设置 为 Windows 中 的 服务 方式 运行 。 
在 浏览 器 中 进行 访问 时 ,使 用 http://localhost: 50080/ 即 可 。 
2) 添加 Apache 对 PHP 的 支持 
(1) 解压 缩 php-5. 2. 6-Win32. zip 至 C:\php。 
(2) 复制 php5ts. dll 文件 到 %systemroot%\system32。 
(3) 复制 php. ini-dist( 修 改 文件 名 ) 至 %systemroot%\php. ini, 修 改 php. 


ni, 


extension= php gd2.dll 
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extension= php mysql .dl1 
如 果 php. ini 中 有 该 句 ,将 此 语句 前 面 的 “;? 注 释 符 去 掉 。 如 图 7.2.4 所 示 。 
Bi 


文件 EE) 编辑 E) ELO MMH) 

;extension=php_domxml .d11 E 

;extension-:php exif.dll 

;extensi p fdf.dll 

p.filepro.dll 
d2. d; 


: 
;extension=php_gettext.d1l 
;extension:php_hyperwave. dll 
;extension=php_iconu.d1l 


A724 PRERE 


同时 复制 C:\php\extension FAY php_gd2. dll 与 php. mysql. dll 至 %systemroot%\. 

(4) 添加 gd 图 形 库 的 支持 ,在 C:\apache\ Apache2\conf\httpd. conf 中 添加 : 

IoadMpdale php5 module "c: /php5/php5apache2.d11" 

注意 : Apache 版 本 在 2.2 以 上 的 ,要 将 命令 改 为 LoadModule php5_ module "c; / 
php5/php5apache2_2. dll" ,否则 无 法 重新 启动 。 

在 AddType application 一 行 下 面 加 入 下 面 两 行 信息 : 

AddType application/x- httpd- php .php .phtml .php3 .php4 

AddType application/x- httpd- php- source .phps 

(5) 添加 好 后 ,保存 http. conf 文件 。 单 击 “ 开 始 ” 按 钮 ,选择 “运行 ”, 在 弹出 的 窗口 中 输 
入 cmd 进入 命令 行 方式 ,输入 下 面 的 命令 : 


net start apache2 


在 Windows 中 启动 Apache Web 服务 ,如 图 7.2.5 所 示 。 


s 2000 [Version 5.00.2195] 
月 1985-2000 Microsoft Corp. 


C:\>net start seriei 


图 725 Apache 启动 界面 


测试 PHP 脚本 : 

在 C:\apache2\htdocs A 3€ FH test. php ,文件 内 容 如 下 : 

«?phpinfo();?» 

使 用 http: //localhost/test. phpCzX http://127. 0. 0. 1: 50080/test. php) llli PHP 是 
否 安装 成 功 。 

3) 安装 和 配置 Snort 


安装 程序 为 WinPcap_4 0 2. exe, 采 用 默认 安装 即 可 。 
v 22T» 


版 本 一 : 安装 Snort 2 8 1 Installer. exe, 采 用 默认 安装 即 可 ,Snort 的 默认 安装 路 径 是 
C;\snort. 

将 snortrules-snapshot-CURRENT 目录 下 的 所 有 文件 复制 (全 选 ) 到 C:\ snort A 
录 下 。 

用 文件 压缩 包 中 的 snort. conf 3$ C:\snort\etc\snort. conf, 
是 C;\snort。 

将 snortrules-snapshot-CURRENT 目录 下 的 所 有 文件 复制 (全 选 ) 到 C: \snort\ rules 
目录 下 。 

在 文件 open-test. conf 中 有 snortrules 的 规则 ,对 应 C:\snort\etc FAY snort. conf 内 部 
的 使 用 规则 ,可 以 自行 更 改 。 

4) 安装 和 配置 MySQL 

(1) 解压 mysql-5. 0. 51b-win32. zip ,并 安装 到 默认 文件 夹 C:\mysql 中 。 采 取 默 认 安 
装 。 设 置 数据 库 实例 流程 ,如 图 7. 2.6 至 图 7. 2. 13 所 示 。 


MySQL Server Instance Configuration Vizard Eg 
MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 
a 
Please select a configuration type. 


[o 
Choose this configuration type to create the optimal server setup for 
! this machine, 


C Standard Configuration 
Use this only on machines that do not already have a MySQL server 


installation. This will use a general purpose configuration for the 
server that can be tuned manually. 


oa | ET] ce | 


图 726 MSQ 安装 向 导 界 面 1 


安装 路 径 : C:\Program Files\MySQL\MySQL Server 5.1. 

(2) 在 命令 行 方式 下 输入 net start mysql, JA Z) MySQL 服务 ,显示 “请 求 的 服务 已 经 
启动 ”。 

(3) 注意 设置 root 账号 和 密码 ,并 在 命令 行 方 式 下 进入 C:\mysql\bin, 输 入 下 面 的 
命令 : 


c:\mysql\bin\mysqld -nt -install 
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NySQL Server Instance Configuration Vizard E3 


MySQL Server Instance Configuration 


Configure the MySQL Server 5.0 server instance. 


Please select a server type. This will influence memory, disk and CPU usage. 


C Developer Machine 
< This is a development machine, and many other applications will be 
run on it. MySQL Server should only use a minimal amount of 
memory. 


c Server Machine: 


Several server applications will be running on this machine. Choose 
this option for webj/application servers. MySQL will have medium 
memory usage. 


C Dedicated MySQL Server Machine 


This machine is dedicated to run the MySQL Database Server. No 
other servers, such as a web or mail server, will be run. MySQL will 
utilize up to all available memory, 


EN EN 
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MySQL Server Instance Configuration Vizard 


MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 


Please select the database usage. 


[Ol Multifunctional Database 


e General purpose databases. This will optimize the server for the use 
of the fast transactional InnoDB storage engine and the high speed 
MyISAM storage engine. 


C Transactional Database Only 
< Optimized for application servers and transactional web applications. 
This will make InnoDB the main storage engine. Note that the 
V MyISAM engine can still be used. 
C Non-Transactional Database Only 


[—]4 Suited for simple web applications, monitoring or logging applications 
ott as well as analysis programs. Only the non-transactional MyISAM 
storage engine will be activated. 


«Bak  [[ met» | — cm | 


图 728 MSQ 安装 向 导 界 面 3 
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MySQL Server Instance Configuration Wizard 


MySQL Server Instance Configuration 


Configure the MySQL Server 5.0 server instance. 


Please set the approximate number of concurrenct connections to the server, 


€ Decision Support (DSS)/OLAP, 
Select this option for database applications that will not require a 
总 high number of concurrent connections. A number of 20 connections 
will be assumed. 
C Online Transaction Processing (OLTP) 


Choose this option for highly concurrent applications that may have 
SE anty ene Hmo OR to 500 active connections. such as heavily loaded 
servers, 


C Manual Setting 
总 Please enter the approximate number of concurrent connections. 


Concurrent connections: 15 一 


mu | cm | 
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WySQL Server Instance Configuration Vizard Es 


MySQL Server Instance Configuration 


Configure the MySQL Server 5.0 server instance. 


Please set the networking options. 


VV Enable TCP/IP Networking 


Enable this to allow TCP/IP connections. When disabled, only local 
connections through named pipes are allowed. 


Port Number: 


Please set the server SQL mode. 


IV Enable Strict Mode 


This option forces the server to behave more like a traditional 
database server. It is recommended to enable this option. 


FEIN 
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BySQL Server Instance Configuration Vizard 


MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 


Please select the default character set. 


Standard Character Set 


D Makes Latin1 the default charset. This character set is suited for 
English and other West European languages. 


(O Best Support For Multilingualism; 


Make UTFS the default character set. This is the recommended 
character set for storing text in many different languages. 


C Manual Selected Default Character Set / Collation 
Please specify the character set to use. 


Character Set: 


utfG 
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MySQL Server Instance Configuration Wizard E 


MySQL Server Instance Configuration 


Configure the MySQL Server 5.0 server instance, 


Please set the Windows options. 


[v Install As Windows Service 


f This is the recommended way to run the MySQL server 
g = on Windows. 
Le 


Service Name: [fisas zl 


Jv. Launch the MySQL Server automatically 


IV linclude Bin Directory in Windows PATH 
Check this option to include the directory containing the 
server | client executables in the Windows PATH variable 
so they can be called from the command line. 


EUN = 
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231 


WySQL Server Instance Configuration Vizard |x | 


MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 


Please set the security options. 


IV Modify Security Settings 
Current root password: [eM Enter the current password; 
a New root password: [e Enter the root password, 


Confirm: jr] Retype the password. 
IV Enable root access from remote machines 
[^ Create An Anonymous Account 


This option will create an anonymous account on this server. Please 
note that this can lead to an insecure system. 


E |C cme | 
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在 命令 行 方 式 下 输入 net start mysql, 启 动 MySQL 服务 。 在 安装 目录 下 (一 般 为 C:\ 
mysql\bin) 运 行 命令 , 单 击 “ 开 始 ” 按 钮 ,选择 “运行 ”, 输 入 cmd, 在 出 现 的 命令 行 窗口 中 输入 
下 面 的 命令 : 

c:\> od mysql\bin 

c:\mysql\bin> mysql -u root -p 


mysql -u root -p 
输入 刚才 设置 的 root 密码 ,运行 以 下 命令 : 
create database Snort; // 在 输入 分 号 后 MysQL 才 会 编译 执行 语句 


create database Snort_archive; 

create 语句 建立 了 Snort 运行 必需 的 Snort 数据 库 和 snort_archive 数据 库 。 

运行 以 下 命令 : 

c:\mysql\bin\mysql - D snort -u root -p<c:\snort\oontrib\create mysql 

c:\mysql\bin\mysql -D snort archive -u root - p < c: VsnortNoontribNcreate mysql 

上 面 两 个 语句 表示 以 root 用 户 身份 ,使 用 C: NsnortNcontrib 目录 下 的 create. mysql W 
本 文件 ,在 Snort 数据 库 和 Snort_archive 数据 库 中 建立 了 Snort 运行 必需 的 数据 表 。 再 次 
以 root 用 户 账 号 登录 MySQL 数据 库 ,在 提示 符 后 输入 下 面 的 语句 : 

grant usage on * .* to "acid"@ "localhost" identified by "acidtest"; 

grant usage on * .* to "snort"@ "localhost" identified by "Snorttest"; 

上 面 两 个 语句 表示 在 本 地 数据 库 中 建立 了 acid( 密 码 为 acidtest) 和 snort CA f 2S 
snorttest) 两 个 用 户 ,以 备 后 面 使 用 。 


set password for "acid"@ "localhost"™= password ('123') ; 
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set password for "snort"@ "localhost"= password ("123") ; 

grant select, insert, update, delete, create,alter on Snort .* to "acid" 

8 "localhost"; 

grant select, insert, update, delete, create,alter on Snort archive .* to "acid" 

8 "localhost"; 

grant select,insert,update,delete,create,alter on Snort .* to "snort" 

8 "localhost"; 

grant select, insert,update,delete,create,alter on Snort archive .* to "snort" 

8 "localhost"; 

上 述 操作 是 为 新 建 的 用 户 在 Snort 和 Snort archive 数据 库 中 分 配 权限 。 

在 命令 提示 符 窗口 中 运行 以 下 命令 ,建立 Snort 输出 安全 事件 所 需要 的 表 , 其 中 C:\ 
snort 为 Snort 的 安装 目录 。 


c:\>mysql - D mysql -u root -p <c:\snort_mysql 


执行 命令 前 ,需要 将 snort mysql 复制 到 C A F ,当然 也 可 以 复制 到 其 他 目录 。 执 行 该 
命令 后 ,系统 提示 输入 root 的 密码 ,输入 密码 后 即 可 建立 所 需要 的 表 。 

5) 安装 其 他 工具 

(1) 安装 Adodb, 解 压缩 adodb497. zip 到 C:\php\adodb 目录 下 。 

(2) 安装 Jpgrapg 库 , 解 压缩 jpgraph-1. 22. 1. tar. gz 到 C:\php\jpgraph. Jf AEE C:\ 
php\jpgraph\src\jpgraph. php ,添加 如 下 一 行 : 


DEFINE ("CACHE DIR", "/tmp/jpgraph_cache/") ; 


(3) 安装 ACID, 解 压缩 acid-0. 9. 6b23. tar. gz 到 C:\apache\htdocs\acid 目录 下 ,并 将 
C;\apache\htdocs\acid\acid_conf. php 文件 的 如 下 各 行内 容 修改 为 


$ DBLib path= "c:\php\adodb"; 
$ DBtype= "mysql"; 

$ alert_doname= "snort"; 

$ alert_host= "localhost"; 

$ alert port- "3306"; 


Salert user- "acid"; 


$ alert_password "acid"; 

/* Archive DB connection parameters * / 

$ archive doname- "snort archive"; 

$ archive host- "localhost"; 

$ archive port- "3306"; 

$ archive user- "acid"; 

$ archive password- "acid"; 

$ ChartLib path= "c: NphpN jpgraphN src"; 

(4) 通过 浏览 器 访问 http: /127. 0. 0. 1/acid/acid db setup. php, 在 打开 的 页 面 中 单 击 
Create ACID AG 按钮 ,让 系统 自动 在 MySQL 中 建立 ACID 运行 必需 的 数据 库 ,如 图 7. 2. 14 
Bim. 

6) 启动 Snort 

打开 C:\snort\etc\snort. conf 文件 ,将 文件 中 的 下 列 语句 
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Æ ACID: DB Setup — Microsoft Internet Explorer 
O SEO SEV KEW TAQ E00 


@ ©- [d 2 (» Or ru O 


地 址 ©) E O 司 EPa EO? Norton antivirus El - 


CID DB Se UP AG Maintenance 


[Back ] 


Operat Descript | Status 
ACID tables Adds tables to extend the Snort DB to support the ACID functionality Create ACID AG 


a DONE 
Senrchindexes (Optional) Adds indexes to the Snort DB to optimize the speed of the queries 


[Loaded in 1 seconds] 


Roman Danyliw AirCERT. 


@ Internet 
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incluce classification.config 
include reference.config 


修改 为 绝对 路 径 : 


include c:\snort\etc\classification.config 
include c:\snort\etc\reference.config 


在 该 文件 的 最 后 加 入 下 面 的 语句 ， 


output database: alert, mysql, host= localhost user= snort password- snorttest 
doname= snort encoding= hex detail- full 
执行 以 下 命令 测试 Snort 是 否 正常 : 
c:\> snort - dev 
能 看 到 一 只 正在 奔跑 的 小 猪 ,证 明 工 作 正常 ,如 图 7. 2. 15 所 示 。 
nort\bin>snort -dev 
Running in packet dump mode 
== Initializing 
Initializing Output Plugin 
pcap DAQ configured to : 
ng netuork traffic f "\Deu @DCADDA 10-411C-9F17-1D4BB6 
Decoding Ethernet 


== Initialization Complete 


By 


Copy: s ire, et al. 
Usi 
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执行 以 下 命令 查看 本 地 网 络 适配器 编号 : 
c:\> snort -W 
正式 启动 snort: 


c:\> od snort\bin 
c:\snort\bin> snort -c "c:\snort\etc\snort.conf" - i "c:\snort\log" -d-e -X 


注意 : 其 中 -i 后 的 参数 为 网 卡 编号 ,由 snort -W 查看 可 知 。 
c:\snort\bin> snort - c "c:\snort\etc\snort.conf" - 1 "c:\snort\ logs" -i 2-d-e-X 


-X 参数 用 于 在 数据 链接 层 记 录 raw packet 数据 。 

-d 参数 记录 应 用 层 的 数据 。 

-e 参 数 显 示 / 记 录 第 二 层 报 文 头 数据 。 

-c 参 数 用 来 指定 Snort 的 配置 文件 的 路 径 。 

-指明 监听 的 网 络 接口 。 

在 cmd 中 ,运行 snort -W,W 大 写 。 此 命令 可 以 作为 Snort 是 否 安装 成 功 的 标志 ,同时 
可 以 看 到 运行 着 的 网 卡 信息 。 一 般 情况 下 ,snort -v 就 可 以 实现 简单 的 嗅 探 任务 Fe Ctrl 十 
C 键 结束 嗅 探 。 

较为 复杂 的 是 配置 。RULE_PATH、SO_RULE_PATH.、PREPROC_RULE_PATH.、 
dynamicpreprocessor 和 dynamicengine 的 路 径 设 置 必须 是 绝对 路 径 。 有 一 点 需要 留意 ， 
dynamicpreprocessor 的 路 径 最 后 不 要 以 斜 杠 或 反 斜 杠 结尾 ,如 果 有 , 则 会 造成 引擎 加 载 失败 。 

使 用 配置 的 命令 方式 为 


snort - v - c "c:\snort\etc\snort.conf" 


若 出 现 *ERROR: OpenAlertFile() => fopen() alert file log/alert. ids: No such file 
or directory”, 可 通过 以 下 命令 


snort - 1 c:\snort\mylogs - c c:\snort\etc\snort.conf 


将 文件 写 和 人 指定 目录 中 : 

在 浏览 器 的 地 址 栏 中 输入 http://localhost: 50080/acid/acid main. php. it A ACID 分 
析 控 制 台 主 界面 ,可 以 查看 人 侵 检 测 的 结果 。 实 验 结 果 如 图 7.2.16 所 示 。 

利用 扫描 实验 的 要 求 扫描 局 域 网 ,查看 检测 的 结果 。 

安装 Snort 时 注意 关闭 防火 墙 。 

Appach 启动 命令 如 下 : 


apache -k install 3X apade -k start 


° 实验 目的 。 
。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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Analysis Console for Intrusion Databases 


AddedD aleri(s) to the Alert cache 


Queried on : Fri December 22, 2006 16:50:24 
Database: snort_alert@localhost (schema version: 0) 
Time window: [2006-12-22 16:18:22] - [2006-12-22 16:50:18] 


ensors: 1 ‘Traffic Profile by Protocol 
Unique Alerts: 12 TCH (123) 
Total Number of Alerts: 86 = 


Source IP addresses: 5 Ur os 
Dest. IP addresses: 4 
Unique IP links 11 ICMP (885) 


Source Ports 
o TCP (3) UDP (0) Portscan Trafic (0%) 
Dest. Ports: 
o TCP (3) UDP (0) 


* w 
f doe ci 
$ 
" 
8 
EH 
$ 
ay 


* Graph Alert data 


* Snapshot 
* Most recent Alerts: any protocol, TCP, UDP, ICMP * Most frequent 5 Alerts 
* Today's: alerts unique, listing; IP src / dst 
e Last 24 Hours: alerts unique, listing, IP src / dst * Most Frequent Source Ports: any , TCP , UDP 
* Last 72 Hours: alerts unique, listing; IP src / dst * Most Frequent Destination Ports: any , TCP , UDP 


* Most recent 15 Unique Alerts 
© Most fremmant 15 addresses source destination a 
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7.3 Snort 扩展 实验 


实验 器 材 


Snort 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 台 。 


预习 要 求 


CD. 做 好 实验 预习 ,复习 入 侵 检测 技术 的 有 关内 容 。 
(2) 熟悉 Snort 软件 的 使 用 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,进一步 熟悉 和 掌握 Snort 系统 ,完善 人 侵 检测 技能 。 
实验 环境 

装 有 Windows XP/Windows 7 操作 系统 的 PC 一 台 。 

预备 知识 

入 侵 检测 原理 。 

实验 步 又 


1. 完善 配置 文件 


打开 C:/snort/etc/snort. conf 文件 ,查看 现 有 配置 。 设 置 Snort 的 内 、 外 网 检测 范围 。 
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将 snort. conf 文件 中 var HOME_NET any 语句 中 的 any 改 为 自己 所 在 的 子 网 地 址 ,即将 
Snort 监测 的 内 网 设置 为 本 机 所 在 的 局 域 网 。 如 本 地 IP 为 192. 168. 1. 10 , 则 将 any 改 为 
192. 168. 1. 0/24 ,并 将 var EXTERNAL_NET any 语句 中 的 any 改 为 1192. 168. 1.0/24, 即 
将 Snort 监测 的 外 网 改 为 本 机 所 在 局 域 网 以 外 的 网 络 。 设 置 监测 包含 的 规则 。 找 到 snort. 
conf 文件 中 描述 规则 的 部 分 ,如 图 7. 3. 1 所 示 ,snort. conf 文件 中 包含 的 检测 规则 文件 如 果 
前 面 加 # 则 表示 该 规则 没有 启用 ,将 local. rules 之 前 的 # 号 去 掉 , 其 余 规 则 保持 不 变 。 


而 snortconf - 记事 本 

SHE) RRE 格式 (0) 帮助 是 
include $RULE_PATH/finger .rules 
include $RULE_PATH/ftp.rules 
include $RULE_PATH/telnet .rules 


include $RULE_PATH/rpc.rules 
include $RULE_PATH/rservices.rules 
#include $RULE_PATH/dos.rules 
include $RULE_PATH/ddos.rules 
include $RULE_PATH/dns.rules 
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2. 使 用 控制 台 查 看 检测 结果 
打开 http:// localhost /acid/acid_main. php 网 页 ,启动 Snort 并 打开 ACID 检测 控制 
台 主 界面 ,如 图 7.3.2 所 示 。 


|| Xt) 编辑 E) 查看 W) HRA) 快捷 组 (G) BRO) TAM BOW "ARD |B - 四 
1D-@- © - HaAaG vc a$- e amr- CD - 9) - G- maea 


[Hbi [9] http://127.0.0.1:50080/acid/acid. man php Ba- iw mier> 


IC @lWindows Media @) Windows @}RRATHotMail @) 自 定义 链接 


Sensors: 1 Traffic Profile by Protocol 
Unique Alerts: 34 ( 10 TCP 096p 
categories ) ————— =—h 
| [Total Number of Alerts: 2021 |UDP (< 1%) 
@ Source IP addresses: 41 
| © Dest. IP addresses: 108 |! C MP (20%) 


* Unique IP links 196 HNEENENM  — —  ] |— 


© Source Ports: 752 Portscan Traffic (096) 
oTcP(749) UDP I I [iii iii 


(3) 
* Dest. Ports: 19 
| O TCP ( 18) UDP E 
完毕 (80 $4592 | [sf |, 
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单 击 图 示 中 TCP 后 的 数字 80% ,将 显示 所 有 检测 到 的 TCP 协议 日 志 的 详细 情况 ,如 
图 7.3.3 所 示 。TCP 协议 日 志 网 页 中 的 选项 依次 为 流量 类 型 .时 间 戳 . 源 地 址 .目标 地 址 以 
及 协议 。 由 于 Snort 主机 所 在 的 内 网 为 202. 112. 108. 0, 可 以 看 出 ,日 志 中 只 记录 了 外 网 IP 
对 内 网 的 连接 ( 即 目标 地 址 均 为 内 网 )。 

选择 控制 条 中 的 home 返回 控制 台 主 界面 ,在 主 界面 的 下 部 有 流量 分 析 及 归 类 选项 ,如 
图 7. 3.4 所 示 。 

选择 “last 24 hours:alerts unique”, 可 以 看 到 24 小 时 内 特殊 流量 的 分 类 记录 和 分 析 。 
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Results 


MyIE2 


Xt) MRE) BSW) BEA 快捷 组 (G) 


dürb (9) nttp://127.0.0.1:50080/acid/acid ary. man.php 


选项 @) IAM BOW) 帮助 (中 


!D-o0-o6-Biao:esasew«ut- eh Sal ds 


margra 


+ RRS 


C3 和 Windovws Media $]Yindows eYeftüyHotNail 9] 自 定义 链接 


[acrD: ... ]a}Anal....|a) 20%... | 


Signature 


[snort] SHELLCODE x86 0x90 
#100- unicode NOOP 


Gs 
1922) 
r [snort] SHELLCODE x86 0x90 
#101- unicode NOOP 
ü- 
1921) 
a [snort] SHELLCODE x86 0x90 
#102- unicode NOOP 
üa- 
1920) 


$ $Àx»23 
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Timestamp 


Layer IS 
4 
Proto 
TCP 


Dest. 
Address 


Source 
Address 


2004-12-29 


11:26:51 202.112.101.34:1498 202.112.108.216:445 


2004-12-29 TCP 
11:26:51 202.112.101.34:1498 202.112.108.216:445 
2004-12-29 TCP 
11:26:51 202.112.101.34:1498 202.112.108.216:445 
^ — mi 
会 0 TEP 
结果 检测 页 面 


E REE 查看 (V) 收藏 (A) p AD TAM BOW) "Bi 
I0- 0-0- HAG v: &-@- Ae CD- 回国- CD- CS C C) 
[ubt [€] http://127.0.0.1:50080/acid/acid_main.php *B- iem» Oa 


| 回 @Windows Media @) Windows 外 移 费 的 Hotllail e] 自 定义 链接 
ACID: .. 


: es... 
@ Snapshot 


* Most recent Alerts: any protocol, TCP, 
UDP, ICMP 

@ Today's: alerts unique, listing; IP src / 
dst 

* Last 24 Hours: alerts unique, listing, IP 
src / dst 


* Most frequent 5 Alerts 


* Most Frequent Source Ports: any , TCP , UDP 
* Most Frequent Destination Ports: any , TCP , UDP 


€ Most frequent 15 addresses: source, destination 


@ Last 72 Hours: alerts unique, listing; IP 
src / dst 
@ Most recent 15 Unique Alerts 


@ Last Source Ports: any , TCP , UDP 
* Last Destination Ports: any , TCP , UDP 


会 0 $S4*239 


133 |, 
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表 中 详细 记录 了 各 类 型 流量 的 种 类 ,在 总 日 
间 等 详细 分 析 ( 在 控制 台 主 界面 中 还 有 其 
3. 配置 snort 规则 
练习 添加 一 条 规则 ,以 对 符合 此 规则 的 数据 包 进 行 
rules 文件 ,如 图 7. 3.5 所 示 。 


文件 E) 编辑 E) 格式 (Q) 帮助 中 


志 中 所 占 的 比例 、 出 现 该 类 流量 的 起 始 和 终止 时 
二 他 功能 ,请 自己 练习 使 用 ) 。 


检测 ,打开 C: \ snort\ rules\ local. 


-Inixi 


# This file intentionally does not come with signatures. 
H additions here. 


Put your local 


E 
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在 规则 中 添加 一 条 语句 ,实现 对 内 网 的 UDP 协议 的 相关 流量 进行 检测 ,并 生成 报警 信 
息 “udp ids/dns-version-query”, 语 句 如 下 : 


alert udp any any <> $ HOME NET any (msg:"udp ids/dns- version- query";content: 
"version";) 


保存 文件 后 退出 。 重 启 Snort 和 ACID 检测 控制 台 ,使 规则 生效 。 
实验 报告 要 求 


实验 目的 。 

附 上 实验 过 程 的 截图 和 结果 截图 。 
阐述 遇 到 的 问题 以 及 解决 方法 。 
闸 述 收获 与 体会 。 
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第 8 童 虚拟 蜜 网 实验 


8.1 虚拟 蜜 网 系统 


8.1.1 密 网 技术 


蜜 网 技术 作为 一 种 新 兴 的 网 络 安全 技术 ,已 经 得 到 国外 很 多 研究 机 构 和 公司 的 重视 。 

。 $9] 5:39] (1999—2001 年 ) 的 研究 关注 于 验证 蜜 网 理论 ,试验 蜜 网 模型 。 在 此 期 间 

建立 了 第 一 代 蜜 网 模型 。 

。 蜜 网 中 期 (2002 一 2004 年 ) 的 核心 研究 内 容 是 简化 蜜 网 应 用 。 中 期 将 改进 蜜 网 的 易 

用 性 作为 研究 的 重点 。 在 此 期 间 建立 了 第 二 代 蜜 网 ,增强 了 蜜 网 的 易 用 性 。 还 出 现 
了 虚拟 蜜 网 技术 和 分 布 式 的 多 蜜 网 构架 。 

* 目前 , 蜜 网 的 研究 重点 是 增强 蜜 网 的 隐蔽 性 和 易 用 性 。 

我 国 在 该 领域 的 研究 开始 较 晚 。2001 年 国家 自然 科学 基金 信息 安全 项 目 正 式 对 该 领 
域 进行 了 立项 研究 。2005 年 1 月 北京 大 学 的 “狩猎 女神 ”计划 是 我 国 第 一 个 专门 针对 蜜 网 
技术 的 研究 项 目 , 同 年 2 月 该 研究 小 组 正式 加 入 世界 蜜 网 联盟 。 

蜜 网 (honeynet) 是 一 种 用 来 被 攻击 或 攻陷 的 网 络 资源 , 它 不 是 一 个 单一 的 系统 ,而 是 一 
个 让 入 侵 者 攻击 的 网 络 架构 。 蜜 网 安装 有 多 个 系统 和 应 用 软件 ,所 有 放置 在 蜜 网 内 的 系统 
都 是 标准 的 产品 系统 ,而 不 是 仿效 的 操作 系统 和 应 用 软件 。 

蜜 网 的 三 大 核心 功能 是 数据 控制 .数据 捕获 和 数据 集中 。 

。 数据 控制 功能 能 够 确保 攻击 者 不 能 利用 蜜 网 系统 危害 第 三 方 网 络 的 安全 ,从 而 降低 

蜜 网 的 使 用 风险 。 
。 数据 捕获 功能 能 够 捕获 入侵 者 的 所 有 攻击 行为 数据 。 
。 数据 集中 功能 便于 多 个 蜜 网 的 集中 管理 和 数据 分 析 。 


8.1.2 EMEN 


虚拟 蜜 网 和 传统 的 蜜 网 具有 相同 功能 ,能 够 在 单个 主机 上 运行 传统 蜜 网 的 所 有 组 成 部 
分 ,这 使 得 蜜 网 部 署 更 加 便捷 ,配置 更 加 集中 。 虚 拟 蜜 网 与 单机 蜜 色相 比 更 加 复杂 高 效 , 提 
高 了 蜜 饶 系 统 检测 .响应 ,恢复 和 分 析 受 侵害 系统 的 能 力 。 


8.1.2.1 虚拟 蜜 网 种 类 


虚拟 蜜 网 分 为 两 类 : 独立 型 虚拟 蜜 网 和 混杂 型 虚拟 蜜 网 。 
1. 独立 型 虚拟 蜜 网 
独立 型 虚拟 蜜 网 就 是 在 一 台 物 理 主机 上 实现 整个 蜜 网 系统 ,包括 具有 数据 控制 和 数据 
捕获 功能 的 蜜 网 网 关 以 及 蜜 网 中 的 蜜 钠 , 如 图 8.1.1 所 示 。 
独立 型 虚拟 蜜 网 的 优点 是 便携 性 和 廉价 的 空间 开销 。 
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独立 型 虚拟 蜜 网 的 缺点 是 需要 高 性 能 硬件 配置 。 安 全 性 在 极 大 程度 上 依赖 于 虚拟 软 
件 。 由 于 物理 主机 的 硬件 限制 ,很 难 实现 对 所 需 操 作 系统 的 完美 模拟 。 

2. 混杂 型 虚拟 蜜 网 

混杂 型 虚拟 蜜 网 是 一 种 同时 使 用 蜜 网 网 关 和 虚拟 软件 实现 蜜 网 系统 的 方案 。 数 据 捕 
获 ( 如 防火 墙 )、 数 据 控 制 ( 如 IDS) 和 日 志 系 统 都 放 在 一 个 独立 、 隔 离 的 系统 中 ,而 所 有 蜜 
铅 都 运行 在 男 一 个 主机 的 虚拟 空间 中 ,这 种 方案 减少 了 虚拟 蜜 网 的 风险 ,如 图 S. 1.2 


Bra. 


图 811 独立 型 虚拟 蜜 网 结构 图 812 混杂 型 虚拟 蜜 网 系统 结构 


混杂 型 虚拟 蜜 网 的 优点 是 安全 性 和 灵活 性 ,入 侵 者 仅 可 能 和 人 侵 虚 拟 蜜 饶 。 可 以 根据 需 
要 来 运行 任意 种 类 的 蜜 饶 。 
混杂 型 虚拟 蜜 网 的 缺点 是 不 易 移动 ,便携 性 不 强 ,需要 较 高 的 费用 和 空间 开销 。 


8.1.2.2 蜜 网 实现 方式 


虚拟 蜜 网 的 实现 方法 主要 有 3 种 : VMware Workstation, VMware GSX Server 和 
User Mode Linux。 
1. VMware Workstation 
VMware Workstation 是 一 个 虚拟 机 软件 ,可 以 运行 在 Linux 和 Windows 两 种 平台 下 ， 
模拟 主板 、 内 存 、 硬 盘 、 网 卡 、 声 卡 和 USB 口 等 多 种 硬件 。VMware Workstation 是 目前 搭建 
虚拟 蜜 网 的 最 佳 选 择 ,设计 对 象 主要 为 桌面 用 户 ,功能 强大 。 
。 支持 多 种 操作 系统 ,虚拟 环境 中 可 以 运行 的 操作 系统 包括 Linux, Solaris, Windows 
和 FreeBSD 等 。 
。 提供 两 种 联网 方式 ,一 种 是 为 独立 型 虚拟 蜜 网 提供 的 桥接 方式 , 男 一 种 是 为 独立 型 
虚拟 蜜 网 提供 的 Host-Only 联网 方式 。 
。 支持 镜像 功能 ,为 每 个 虚拟 蜜 钠 提供 镜像 文件 ,方便 了 蜜 钠 的 移植 和 备份 ,并 具有 加 
载 虚拟 磁盘 镜像 的 功能 。 
。 具有 和 较 好 的 技术 支持 .升级 和 补丁 等 服务 和 方便 易 用 的 图 形 接口 。 
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2. VMware GSX Server 

VMware GSX Server 是 VMware Workstation 的 服务 器 增强 版 本 ,可 以 运行 更 多 复杂 
的 服务 。VMware GSX Server 一 般 将 Linux 和 Windows 作为 宿主 操作 系统 。VMware 公 
司 还 有 一 种 ESX Server 服务 器 版 本 ,该 版 本 不 但 提供 软件 解决 方案 ,而 且 提 供 一 定 的 硬件 
解决 方案 。 

3. User Mode Linux 

User Mode Linux(UML) 具 有 在 一 个 系统 上 同时 运行 多 个 Linux 实例 的 能 力 。 它 是 一 
种 相对 较 新 的 工具 ,具有 很 大 的 发 展 潜力 。 
开放 公开 的 源 代码 ,可 以 根据 需要 修改 UML 源 代码 。 
可 供 “ 指 纹 ” 识 别 的 信息 较 少 ,资源 要 求 较 少 。 
可 以 构建 多 个 虚拟 网 络 , 并 且 能 够 在 虚拟 网 络 里 创建 虚拟 路 由 器 。 
支持 桥接 和 Host-Only 两 种 联网 方式 。 
支持 操作 系统 内 核 记 录 击 键 序列 功能 。 
可 通过 预先 配置 好 的 可 下 载 的 文件 系统 方式 来 实现 虚拟 蜜 饶 。 
支持 多 种 方式 访问 UML 控制 台 , 包 括 使 用 伪 终 端 \xterm、 通 过 Telnet 方式 进入 的 
AH ,甚至 通过 屏幕 方式 访问 UML 控制 台 。 

UML 目前 仅 支持 Linux 虚拟 机 器 ,而 且 UML 还 存在 很 多 程序 漏洞 .文档 和 安全 问 
题 。 由 于 UML 没有 GUI 图 形 界面 ,现在 所 有 配置 和 实现 都 必须 在 命令 行 下 完成 ,不 容 
易 使 用 。 

虚拟 蜜 网 示意 图 如 图 8. 1. 3 所 示 。 
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图 813 虚拟 蜜 网 示意 图 


本 次 实验 中 主机 (攻击 机 ) 与 虚拟 机 ( 靶 机 ) 间 采用 主机 方式 (HostrOnly) 连 接 。 
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8.2 搭建 虚拟 蜜 网 


实验 器 材 


虚拟 蜜 网 软件 综合 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 £i. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 虚拟 蜜 网 技术 的 有 关内 容 。 
(2) 熟悉 搭建 虚拟 蜜 网 的 各 类 软件 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,学 会 安装 相关 虚拟 蜜 网 软件 ,了 解 虚拟 蜜 网 的 搭建 过 程 。 
实验 环境 

操作 系统 为 Windows XP 的 PC 一 台 。 

预备 知识 


CD 蜜 网 技术 。 
(2) 虚拟 蜜 网 原理 。 


实验 步 又 


1. 搭建 工具 介绍 

VMware 软件 版 本 主要 有 VMware Player Cf& #%), VMware Workstation, VMware 
GSX Server( H iif License 免费 )、VMware ESX Server 等 版 本 。 本 实验 使 用 的 具体 版 本 为 
VMware Workstation 5. 5. 1-19175, 

运行 在 VMware 虚拟 机 软件 上 的 操作 系统 的 网 络 连接 方式 有 3 种 : 

CD 桥接 方式 (bridge) : 在 桥接 方式 下 ,VMware 模拟 一 个 虚拟 网 卡 , 主 系统 对 于 客户 
系统 来 说 相当 于 一 个 桥接 器 ,客户 系统 对 于 外 部 直接 可 见 , 如 图 8.2.1 所 示 。 

(2) 网 络 地 址 转换 方式 (NAT) : 客户 系统 不 能 直接 连接 网 络 , 必 须 通过 主 系统 对 所 有 
进出 网 络 的 客户 系统 收发 的 数据 包 做 地 址 转换 ,客户 系统 对 于 外 部 不 可 见 , 如 图 8. 2. 2 
所 示 。 

(3) 主机 方式 (host-only) : 主 系 统 模 拟 一 个 虚拟 的 交换 机 ,所 有 客户 系统 通过 这 个 交 
换 机 进出 网 络 ,如 图 8. 2. 3 所 示 。 如 果 主 系统 是 用 公 网 IP 连接 Internet, MAP RAR fie 
私有 PP。 如 果 另 外 安装 一 个 系统 通过 桥接 方式 连接 Internet, 则 这 些 客户 系统 的 IP 为 公 网 
IP ,直接 从 这 个 虚拟 的 桥接 器 连接 Internet, 
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图 821 桥接 方式 


虚拟 以 太 网 
JED ee 


虚拟 机 


动态 主机 配置 


虚拟 以 太 网 交换 机 协议 服务 器 


网 络 地 址 
转换 设备 


822 网 络 地 址 转换 方式 


虚拟 以 太 网 


DBL = » 动态 主机 配置 
主机 虚拟 | 虚拟 以 大 网 交换 机 协议 服务 器 
适配器 


图 823 主机 方式 


若 宿主 主 机 只 有 一 块 网 卡 , 可 在 该 网 卡 上 绑 定 多 个 IP 地 址 ,实际 配置 中 将 IP 地 址 
192. 168. 0. 2( 攻 击 机 IP) 和 192. 168. 1. 2( 控 制 机 IP) 均 绑 定 到 宿主 主机 网 卡 上 ,如 图 8. 2.4 
所 示 。 

2. 环境 配置 

宿主 主机 : 

。 操作 系统 为 Windows 7/Windows XP, 

* VMware Workstation 9. 0, 

相关 软件 : 

。 蜜 网 网 关 虚 拟 机 : Roo Honeywall CDROM vl. 4。 

。 BUHLER: Win2003 Server. Sebek 客户 端 软件 。 

。 漏洞 扫描 软件 : 流光 Fluxay 
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高 级 TCP/IP 设置 
FE 和 | 
-IP 地 址 - 
IP 地 址 FARB 
172.31.5.28 255.255.0.0 


192. 168.0.2 255.255.255.0 
192. 168. 1.2 255. 255. 255. 0 


(添加. ] so...) o ] 


默认 网 关 QD: 


_ 网关 
172.31.118.1 


©)... 


自动 跃 点 计数 n 
接口 路 点 数 QD: 


图 824 网 卡 绑 定 设置 


3. 系统 搭建 

CD 按 默认 方式 安装 VMware Workstation 软件 。 

(2) 安装 蜜 网 网 关 虚 拟 机 。 

首先 ,新建 虚拟 机 ,选择 Custom 安装 类 型 ,如 图 8. 2. 5 所 示 。 


New Virtual Machine Wizard L3 J 


Welcome to the New Virtual 
Machine Wizard 


What type of configuration do you want? 


D) Typical (recommended) 
Create a Workstation 9.0 virtual machine 
in a few easy steps. 


© Custom (advanced) 


Create a virtual machine with advanced 
options, such as a SCSI controller type, 
VMware virtual disk type and compatibility with 


Workstation 9 w—(à—à—— 


825 虚拟 机 安装 界面 
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其 次 ,选择 虚拟 机 的 硬件 版 本 ,此 处 选择 Workstation 9.0, 它 具有 较 好 的 性 能 , 且 可 实 
现 向 下 兼容 ,如 图 8. 2.6 所 示 。 


New Virtual Machine Wizard 00 =a 
be ee M 


Choose the 


Machine Hardware Compatibility 
Which hardware features are needed for this virtual machine? 


Virtual machine hardware compatibility 


hava coat 

Compatible with: [7] ESX Server 

Compatible products: Limitations: 

Fusion 5.0 A 64 GB memory limit " 
Workstation 9.0 ii 


图 826 虚拟 机 配置 界面 


选择 I will install the operating system later, 如 图 8. 2.7 所 示 。 


"New Virtual Machine Wizard |) 


Guest Operating System Installation 


A virtual machine is like a physical computer; it needs an operating 
system. How will you install the guest operating system? 


Install from: 


© Installer disc: 


[e8 ovo rw agenes (ED) 


© Installer disc image file (iso): 


|D:WDpowNLOADWmware 虚 拟 机 win2000.iso ~) [ Browse... ] 


(9) I will install the operating system later. 
The virtual machine will be created with a blank hard disk. 


图 827 虚拟 机 配置 界面 


选择 蜜 网 网 关 虚 拟 机 的 操作 系统 类 型 ,如 图 8.2.8 所 示 。 为 更 好 地 保证 兼容 性 ,操作 系 
统 选择 Other, 版 本 选择 Other。 


接 下 来 ,设置 蜜 网 网 关 虚 拟 机 命名 与 路 径 , 如 图 8. 2.9 所 示 。 路 径 及 虚拟 机 可 以 任意 命 
名 ,但 其 中 应 尽 可 能 保证 不 含 中 文字 符 , 以 防 出 现 意 外 。 
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有 
New Virtual Machine Wizard = 


Select a Guest Operating System 
Which operating system will be installed on this virtual machine? 


[Other z) 


(Hep) (me) CNext> |] cancel) 


828 操作 系统 选择 界面 


New Virtual Machine Wizard Sem 


Name the Virtual Machine 
What name would you like to use for this virtual machine? 


Virtual machine name: 
Other 


Location: 
F:|Virtual Machines\Other Browse... 
The default location can be changed at Edit > Preferences. 


<Back Next > Cancel 


图 829 网 关 虚 拟 机 设置 界面 


设置 蜜 网 网 关 虚 拟 机 处 理 器 内 核 数 ,如 图 8. 2. 10 所 示 。 

设置 蜜 网 网 关 虚 拟 机 内 存 大 小 ,建议 取 256MB, 如 图 8. 2. 11 所 示 。 

设置 网 络 连接 方式 ,选择 Use bridged networking (桥接 模式 ), 需 男 加 两 个 网 卡 , 如 
图 8. 2. 12 所 示 。 

设置 虚拟 硬盘 接口 类 型 ,SCSI 接口 选择 为 LSI Logic, 如 图 8. 2. 13 所 示 。 

创建 虚拟 硬盘 ,如 图 8.2. 14 所 示 。 

设置 虚拟 硬盘 为 SCSI, 如 图 8. 2. 15 所 示 。 
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New Virtual Machine Wizard OOOO 


Processor Configuration 
Specify the number of processors for this virtual machine. 


Processors 
Namber of processors: r— 


Number of cores per processor: m— À 


Total processor cores: 1 


图 8210 虚拟 硬件 设置 界面 


TI 二 | 


Memory for the Virtual Machine 
How much memory would you like to use for this virtual machine? 


Specify the amount of memory allocated to this virtual machine. The memory size 
must be a multiple of 4MB. 


Memory for this virtual machine: 


Ij Maximum recommended memory: 
1376 MB 


图 8211 硬件 内 存 设置 界面 
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Network Type 
What type of network do you want to add? 


Network connection 


@ Use bridged networking 
Give the guest operating system direct access to an external Ethernet 
network. The guest must have its own IP address on the external network. 


© Use network address translation (NAT) 
Give the guest operating system access to the host computer's dial-up or 
external Ethernet network connection using the host's IP address, 


© Use host-only networking 
Connect the guest operating system to a private virtual network on the host 
computer. 


© Do not use a network connection 


8210 网 络 连接 类 型 设置 界面 


we REN 


Select I/O Controller Types 
Which SCSI controller type would you like to use? 


I/O controller types 

IDE Controller: ATAPI 

SCSI Controller: 同 BusLogic (Recommended) 
@ LSI Logic 
© LSI Logic SAS 


图 8213 硬盘 接口 设置 界面 


249 


New Virtual Machine Wizard 0 


Select a Disk 
Which disk do you want to use? 


Disk 
© Create a new virtual disk 
A virtual disk is composed of one or more files on the host file system, which 


will appear as a single hard disk to the quest operating system. Virtual disks 
can easily be copied or moved on the same host or between hosts. 


© Use an existing virtual disk 
Choose this option to reuse a previously configured disk. 


| © Use a physical disk (for advanced users) 
eee ed tthe hs eet dence 


| Chep 


A824 创建 虚拟 硬盘 


New Virtual Machine Wizard 0 


Select a Disk Type 
What kind of disk do you want to create? 


Virtual disk type 
© IDE (Recommended) 
(9) SCSI 


NT NN (cancel | 


821 虚拟 硬盘 类 型 


设置 虚拟 硬盘 大 小 为 30GB, 选 择 Split virtual disk into multiple files ,无 须 立 即 分 配 全 
部 空间 ,如 图 8. 2. 16 所 示 。 

指定 虚拟 硬盘 文件 的 绝对 路 径 ,如 图 8. 2. 17 所 示 。 注 意 必 须 给 出 完整 路 径 ,不 要 出 现 
中 文字 符 , 具 体 路 径 可 以 任意 设置 。 

完成 配置 ,如 图 8. 2. 18 ra. 

设置 CD/DVD 为 蜜 网 网 关 ,ISO 为 Roo vl. 4-hw189 软件 ,如 图 8. 2. 19 所 示 。 


e 250 « 


feed 0 BI 


Specify Disk Capacity 
How large do you want this disk to be? 
Maximum disk size (GB): 30.0 B 


Recommended size for Other: 8 GB 


[F] Allocate all disk space now. 


Allocating the full capacity can enhance performance but requires all of the 
physical disk space to be available right now. If you do not allocate all the 
space now, the virtual disk starts small and grows as you add data to it. 


© Store virtual disk as a single file 
@ Split virtual disk into multiple files 


Splitting the disk makes it easier to move the virtual machine to another 
computer but may reduce performance with very large disks. 


图 8216 指定 硬盘 容量 


New Virtual Machine 1177 


‘Specify Disk File 
Where would you like to store the disk file? 
Disk File 
One disk file will be created for each 2 GB of virtual disk capacity. File names for 
each file beyond the first will be automatically generated using the file name 
provided here as a basis. 


图 8217 文件 存储 路 径 


* 251 


Tv 证 本 


Ready to Create Virtual Machine 
Click Finish to create the virtual machine. Then you can install Other. 


The virtual machine will be created with the following settings: 


Name: Other 

Location: FAVirtual Machines\Other 
Workstation 9.0 
Other 


30 GB, Split 


图 8218 完成 虚拟 机 的 配置 


TE 


Device Summary 
Mili Memory 256 MB 
[ Processors. 1 Connect at power on 


C Hard Disk (IDE) 40 GB 

局 copvo (IDE) Using file D:\TDDOWNLOAD\Vmw... 
Floppy Auto detect 

Network Adapter NAT 

uss controller Present 

H) sound Card Auto detect 

由 printer Present 


图 8219 设置 CD-ROM 界 面 


接 下 来 ,需要 对 虚拟 机 进行 具体 配置 ,添加 两 块 网 卡 ,如 图 8. 2. 20 至 图 8.2. 21 所 示 , 其 
中 Network Adapter2 设 为 Host-only, Network Adapter3 设 为 Bridged。 

启动 蜜 网 网 关 虚 拟 机 ,安装 蜜 网 网 关 软 件 ,默认 按 回 车 键 开始 安装 ,如 图 S. 2. 22 至 
图 8. 2. 24 所 示 。 

G) 配置 蜜 网 网 关 虚 拟 机 ，。 

以 roo/honey 默认 用 户 / 口 令 登 录 , 使 用 “su -” 提 升 到 root 账号 ,默认 口令 也 为 honey, 
如 图 8. 2. 25 所 示 。 输 入 menu 命令 进入 配置 菜单 。 
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Virtual Machine Settings 


Hardware | Options 


Hardware Type 
What type of hardware do you want to install? 


Explanation 


Č) CD/DVD Drive 
E Floppy Drive 


(ard Disk Add a network adapter. 


Ce 7) (cane Hep 
图 8220 添加 网 卡 
Virtual Machine Settings - "ll 
Hardware | Options. 
Device . 
mee, dum RR : 
E Processors " X 
Network Adapter Type 
(ard Disk (IDE) What type of network adapter do you want to add? 
Cy CD/DVD (IDE) lid i» 
Id Floppy 
ao Network connection 
acd USB Controller " ^ M 
@ sound card © Bridged: Connected directly to the physical network = 
Printer [C] Replicate physical network connection state 
ispay © NAT: Used to share the host's IP address | 
@ Host-only: A private network shared with the host | 
© Custom: Specific virtual network | 
[vmneto ~ 
Device status 
V] Connect at power on 
(<Back )]( res } (cance! 
Co jJ( cms J( Hep 


图 8221 设置 网 络 连接 方式 
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The Honeynet 


PERSOZIZSEZCAZT 


This is the Honeynet Project's Honeyuall Bootable CD. 


MOHIEIEHER HER ERE IERE AERE IEEE HEEEHE IHE IER IE EEHEEEHEHEH EHE EIE EE EHE EHE HER IE ILE NU GG 
# 

t-HARNING-? " 

Continuing will overwrite existing Hard Drive — 

# 
HRHPHSHBASHRHHSHAHEHEHAHEHEH AE PA OO AE PO AE HH HUE HH HL PO Rene 


Hit (return) key to overwrite existing hard drive... 


图 822 蜜 网 网 关 软 件 安装 界 


Ej 


Fedora Core (C) 2884 Red Hat, Inc. 


Package Installation 


Mame =: per1-5.8.5-14.FC3- i386 
Size  : 33712k 
Summary: The Perl programming language. 


Packages 
233 

48 

193 


417 


<Tab>/<Alt-Tab> between elements pace» selects 71 <FiZ> next screen 


8223 蜜 网 网 关 软 件 安装 过 程 


joneywall roo-1.8.hu-189 

ernel 2.6.12-1.1378_FC3 on an i686 
Iroo-base-1.8.hw-383 

localhost login: 


图 8224 蜜 网 网 关 软 件 安装 完毕 , 进入 登录 界 


localhost login: 

Password : 

Last login: Sat Oct ? 16:47:42 on ttu1 
Iroo81ocalhost ^1$ su 

Password: _ 


41825 网 关 登 录 界 面 


接 下 来 ,进入 蜜 网 网 关 初 始 配置 。 如 未 能 成 功 进 入 , 则 在 shell 中 执行 第 4 项 
Honeywall Configuration 进行 设置 ,如 图 8.2. 26 Prax. 


Honeywall CD 
Main Menu 


1 Status 
2 OS Administration 
3 Hone 11 fidministration 


5 Documentation 
6 Exit 


&| 825 配置 菜单 选择 界 画 


© SH fa BAS. 
输 的 IP 地 址 ,如 图 8. 2. 27 所 示 ,通过 添加 空格 来 分 隔 多 个 IP 地 址 ,目前 Roo 不 


Hi 
* 255 * 


最 好 将 其 设置 为 


ii 
E 
Ex 
BE 
ji 
m 
3 
= 


LRR PRAA ER Be BSE IP 地 址 。 且 该 IP 应 
与 主机 处 于 同一 网 段 。 


8227 IP 地 址 设置 界面 


设置 该 网 段 的 广播 IP 地 址 ,如 图 8. 2. 28 所 示 。 此 处 最 好 设置 为 默认 广播 地 址 。 例 如 ， 
此 处 192. 168.4.4 是 C 类 IP, 故 其 默认 广播 地 址 为 192. 168. 4. 255. 

如 图 8. 2. 29 所 示 ,设置 为 CIDR 格式 , CIDR 格式 决定 了 该 IP 的 掩 码 和 其 所 处 的 网 
段 , 故 应 与 之 前 的 设置 相 匹 配 , 如 此 处 可 设 为 192. 168. 4. 4/31 。 


8228 网 段 广播 IP 地址 设置 界面 图 8229 蜜 网 网 段 设置 界面 


© BARAKE E. 

输入 管理 接口 的 IP 地址 ,如 图 8. 2. 30 所 示 , 此 IP 对 应 的 主机 不 必 是 活动 的 ,但 要 保证 
其 与 主机 (攻击 机 ) 的 IP 处 于 同一 网 段 。 

设置 IP 地 址 掩 码 ,如 图 8.2.31 所 示 。 


图 8230 管理 口 IP 地 址 设置 界面 8231 管理 口 IP 地 址 掩 码 设置 界面 


设置 管理 口 网 关 , 如 图 8. 2. 32 所 示 ,一 般 默认 将 最 后 一 个 字段 设 为 1. 
设置 DNS 服务 器 地 址 , 如 图 S. 2. 33 所 
示 , 由 于 本 实验 未 用 到 域名 解析 ,此 处 可 省 略 。 
设置 可 以 管理 蜜 网 网 关 的 远程 控制 端 IP 
范围 ,以 CIDR 格式 填写 ,可 有 多 个 IP 网 段 , 中 
间 用 空格 分 隔 , 如 图 8. 2. 34 所 示 。 此 处 可 将 
其 设 为 any 以 保证 一 定 可 用 ,或 将 其 设 为 主机 
IP 以 保证 安全 性 。 
- 256 * 


图 8232 管理 口 网 关 地 址 设置 界面 


图 8233 管理 口 DNS 服务 器 地 址 设置 界面 8234 管理 网 段 设置 界面 


@ Sebek 服务 器 端 配置 。 
在 蜜 网 网 关 配置 主 界面 ,选择 11 Sebek, Sebek 服务 器 端 IP 地 址 设置 为 管理 口 IP, 如 
图 8. 2. 35 所 示 ; 目标 端口 选择 为 1101 ,如 图 8. 2. 36 所 示 。Sebek 数据 包 处 理 选择 为 Drop. 
至 此 , 蜜 网 网 关 的 配置 完毕 。 
(4) 测试 蜜 网 网 关 的 远程 管理 。 
首先 ,在 主机 上 使 用 SecureCRT 软件 测试 SSH 远程 管理 ,远程 SSH 连接 蜜 网 网 关 管 
理 口 ,如 图 8.2.37 所 示 。 此 处 的 目的 在 于 检验 与 蜜 网 网 关 能 否 成 功 地 建立 https 连接 。 


Quick Connect 


Protocol: SSH2 ~ 

Hostname: 192.168.4.3 
Port: 22 Eirewall: |None K 
Username: roo 

825 Sebek 服 务 器 端 IP 地 址 设置 Authentication 
| [Password E Properties... 
| |[v]Publickey 
| |[V]Keyboard Interactive | 
| essar 


C Show quick connect on startup [V] Save session 


口 openinatab 
8236 目标 端口 选择 827 SSH 远 程 管理 设置 界面 


| 


其 次 ,测试 Walleye 的 远程 访问 情况 ,远程 连接 Walleye, 如 图 8. 2. 38 所 示 。 


User Name: 


Password: 


Login 


A828 远程 连接 Wee Fa 


按 提示 修改 Walleye 中 的 密码 ,如 图 8. 2. 39 所 示 。 完 成 后 的 Walleye 界面 如 图 8. 2. 40 
。 257 。 


所 示 。 


The Honeynet Honeywall Change Password 


Change Password (Min 8, 1 upper, 1 lower, 1 number, 1 special) 


The new password must be at least 8 characters and it must contain at least 1 upper and 1 lower case 
character, at least 1 number and at least 1 special character (ex: shift 1). 


User Name: = 
Current Password 


New Password 


Confirm Password: 


Change Password 


图 823 远程 修改 Walee 密 码 


The Honeynet 


ye: Honeywall Web Interface 


‘System Admin 


-OS Administration 
Ri Welcome to the System Administration section of your Honeywall Gateway. The following pages vill allow you to view the status 


ard configure your Honeywall gateway. For detailed information about the operaton of the Honervall, please referto the Online 
E3- Honeywell Configuration F peel 
[-1P Information 
Remote Management Load Average 
Connection Lmitin Uptime Users 2 Min Min 15 Min 
PROCEDIT MA Sit? 1 urr boad average: 0.25 516 
DNS Hardling total ured free shared buffers cached 
Alerting Mem. 230 is 5 E 36 
Snort-Inine Swap. o sos 
Honeywall Upload Filesystem Used Avail Use Mounted. on 


CT 
‘Honeywell Summary ien 


Roach Motel Mode ed /ep 
os hid 
i Short Rules Managemet eH. M 


8240 Waleye 远 程 管 理 界 面 


(5) ERE M ULP E E o 
Ei Jc 39r E He UL > TUE He OL RR E M e UL ELA Rd REX EDU Bridged. 
fir Mz DOL SE ER ed 4 BEA. npe 8.2. 41 所 示 。 此 处 的 IP 设置 要 与 之 前 在 蜜 网 网 关 


z 


Internet tsas 4 (TCP/IP V4) te 。 EN 


常规 
|| 六 


© BHR IP 地 址 @) 
© 使 用 下 面 的 IP 地 址 GO 


IP Hh) 172 . 16 .188 .132 
子 网 摘 码 由 255 .255 .255 . 0 
默认 网 关上 四 ) 1:2 .16 .0 .1 


自动 获得 DNS 服务 器 地 址 QD 
| © 使 用 下 面 的 DNS 服务 器 地 址 外) 
首选 DRS 服务 器 @) 162 .105 .163 .116 


备用 DNS 服务 器 QD | 


J 


退出 时 验证 设置 D m... 


8241 gg) EE IP 地 址 设置 界面 


Xt SHE AY) IP 设置 一 致 。 默 认 网 关 必 须 配置 正确 ,否则 无 法 实现 连通 。 应 在 主机 系统 下 查看 
安装 的 用 于 bridged 模式 虚拟 网 卡 的 IP, 蜜 网 网 关 的 IP 要 与 其 保持 一 致 。 

测试 虚拟 机 蜜 镑 和 宿主 主机 之 间 的 网 络 连接 ,在 宿主 主机 上 ping 虚拟 机 蜜 色 IP, 如 
图 8. 2. 42 所 示 ,为 宿主 机 到 虚拟 机 的 连通 测试 。 


图 8249 宿主 机 到 虚拟 机 的 连通 测试 


(EEA OL 2 HE E ping 宿主 机 IP, 如 图 8. 2. 43 所 示 ,为 虚拟 机 到 宿主 机 的 连通 测试 。 


图 8243 虚拟 机 到 宿主 机 的 连通 测试 


在 蜜 网 网 关上 监听 ICMP ping 包 是 否 通过 外 网 口 和 内 网 口 


tapdump - i eth0 ianp 

topdinp - i ethi imp 

监听 结果 如 图 8. 2. 44 所 示 。 

通过 测试 后 ,说 明 虚 拟 机 蜜 缸 和 外 部 网 络 之 间 的 网 络 连接 没有 问题 

(6) 在 虚拟 机 蜜 缸 上 安装 Sebek 客户 端 。 

将 Sebek-Win32-3. 0. 4. zip(http://www. savidtech. comy/sebek/) 通 过 网 络 共享 复制 到 
KE UHLE REH ,解压 后 执行 Setup. exe 进行 安装 

在 蜜 网 网 关 虚 拟 机 上 执行 ifconfig eth2, 如 图 8. 2. 45 所 示 。 得 到 管理 口 eth2 的 MAC 
地 址 , 填 入 如 图 8.2. 46 所 示 的 Sebek 服务 器 端 配置 oa THE MM Destination 地 址 可 以 
考虑 设置 为 蜜 网 网 关 管理 接口 的 IP。 

随机 生成 或 填写 Magic Number, 若 使 用 多 个 蜜 钠 , 需 保证 同一 蜜 网 中 每 台 蜜 钢 主 
均 安 装 Sebek, H. Sebek 使 用 的 Magic Number 保持 一 致 ,使 得 Sebek B Emo 


unre 
35 
unre 


) unre 
:85 


:85 :: 
8 unre 


:85 


3 unre 


4 


4 
646, le 
19:85 
1698 
19:85:4 
982, le 


[root@ localhost lit 


2th2 


对 攻击 者 隐蔽 


Honeywall 4 


:输入 命令 * 


IP 
length 
IP 19 
length 
68 IP 19 
achable, length 
888869 IP 
achab le length 
598938 IP 192. 
achable, length 
598948 IP 192 
hable, length 
186992 IP 192 
achable, length 
186994 IP 
achable, length 
6.431653 IP 1* 92.168.4.24 A öt eque 
length 48 
6.431654 IP 
ngth 48 


eply, 


47.792986 IF 92. 8 9: 8.4.243 d eque 


length 48 
7.7 348 IP 
ngth 48 


eply, 


图 8244 


监听 ICVP ping & 


ifconfig ethz 
Link encap:Ethernet HWaddr 88:8C: 48 :8B:63 
inet addr:192.168.4.3  Bcast:192.1 255 Mask 
UP BROADCA RUNNING MULTICAST  MTU:1588 Metric:1 

packet 336 errc :8 dropped:8 overruns:B frame 
B dropped:@ overruns:B c 
jllisions:8 ueue len: 1888 
< byte ) iB) TX byte 

3 addre 8x1888 


arrier 


packet 16 error 


Interrupt 


826 监控 软件 基本 配置 界面 


Sebek Configuration Wizar erver Configuration xi 


Server Configuration 
Sebek logs all data it collects te a central server. Please 
specify the information sebek will use to generate packets the 
server can collect 


This field specifies the MAC address to use for all outgoing packets. If 
the logging server is more than one hop away from the honeypot, then the 
Destination MAC should be set to the MAC of the default gateway for this 


foo loc ifs fos jos fest 


This field defines the IP address used in all the packets generated by 
Sebek. Since the Sebek server does nct look at the Destination IP address 
when it collects packets, it is not required nor reconmended to set this 


Destination 


Destination 0.0.0.0 


This field defines the UDP destination port to be configured in the Sebek 
packets. This value is used by the Server to identify packets of 


Destination 1101 


ma | wn 
监控 软件 设置 界 


^] 


8246 


Ej 


BI ir ied d IRI T mE 


udp 


udp 


udp 


udp 


3 udp 


udp 
udp 


udp 


iE E BL BY) FE al ASL FE AP 2 a EET) 。 
sbk extract -i ethl -p 1101|sbk ks log. pl 可 监视 eth] 捕获 到 的 


在 


sebek 数据 包 ,并 输出 


到 


屏幕 上 。 此 时 在 


ie ASP AT 


上 的 Sebek 记录 
AY i HU BE P9 5 Hl 
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K ,说 明 Sebek 工作 正常 。 重 新 启动 主机 


建 环节 全 部 结束 。 


,建立 虚拟 机 的 Snapshot 。 


cmd. exe, 这 时 就 会 看 到 Honeywall 


。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


8.3 漏洞 扫描 实验 


实验 器 材 


蜜 网 综合 环境 ,1 E, 
PC( Windows XP/Windows 7).1 £i. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 虚拟 蜜 网 技术 的 有 关内 容 。 
(2) 熟悉 虚拟 蜜 网 的 使 用 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

COE 做 好 预习 报告 。 


实验 任务 

掌握 利用 虚拟 蜜 网 技术 进行 系统 漏洞 扫描 的 方法 。 

实验 环境 

操作 系统 为 Windows XP 的 PC 一 台 。 

预备 知识 

(OD 蜜 网 技术 。 

(2) 虚拟 蜜 网 原理 。 

实验 步骤 

在 攻击 机 ( 即 宿主 机 ) 上 运行 XScan 漏洞 扫描 工具 对 192. 168. 0. 4 虚拟 机 蜜 饶 实 施 漏 
洞 扫描 ,如 图 8. 3.1 所 示 。 

在 蜜 网 网 关上 对 XScan 漏洞 扫描 过 程 中 的 每 个 网 络 连接 都 进行 了 完备 的 记录 ,从 网 8. 3. 2 
蜜 网 网 关 数 据 摘要 视图 可 发 现 正在 扫描 的 192. 168. 0. 2 攻击 机 IP, 图 8. 3.3 则 显示 了 其 扫 
描 的 每 个 网 络 连接 的 详细 信息 。 

实验 报告 要 求 

。 实验 目的 。 
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The Honeynet i : T er tae 
Data Analysis System Admin 
Honeywall: 192.160.1.9 Created! Sat Oct 7 22122155 2006 Last Updater Sat Occ T 
23 24:25 2006 
Bidirectional Flows Total Flows n 
ES Out tn En 
CR NÉE 
11,005 349 0 Oi,e4 384 1 O l ; | 
Hour ED n» 15: bò 28 
Det HILTON GO CRE SEL eret) —À — P 


Honeyrrall Detalls 


Sansor IC 9292298779 Senger Name: Hereyvall: 192.169.1.3 
Install Date Sat Cet 7 22:22:55 2006 Last Update: Sat Oct 7 23:34:32 2006. 
State online 

Country oN imerones 8 

Latitude Longituder 

Network Type edu 
Notes Peking University Jianwei's Honeynet 
Adivity Report 
Top 10 Honeysots Top 10 Remote Hosts 
Flags Host Connections IDS avants Host Connectors IDS everts 
132.168.0.4 1 n ENTE] ana 238 
72.81.5.28 126 20 
192.168.0.1 155 66 
Top 10 § Top tination Bo: 
Po Connection TDs events Connections 

3067 6 ias 198 
2495 s 445 iss 
2317 4 161 27 
2113 4 135 2 
3164 3 E 2 
2202 z 1434 i 
2363 2 5622 i 
2956 2 162 i 
2346 2 E o 
2032 2 g27e9 o 


Time 


Start End 
1P Proto 
Either 

Prefix Pot p 
source 

Prefix Pot g 

ation T | 
Prefix pot o 
Result Format ERI = 


图 832 蜜 网 网 关 捕获 的 漏洞 扫描 过 程 的 摘要 视图 


‘Connections Observed from Gonsor 32292235779 Aftor Gat Oct 7 22:91:31 2006 Before Bat Oct 7 20:31:31 2006 


mantis edt Pr =a 
me eo EE 
wom 19 14 192.108.0.2 


la 23 24 28 25 27 20 
[eas 


October Teh 2004.29 
192. 


ES ce 


[Pesar Teh 20108 
192.168.0.4 


| 


199.160.0.4 


192.160.0.4 
[3 


192.168.0.4 


192.188.0.4 
[3 


eee ae ee ee] 


INE IOS SVME-OE WCG create les altarpi 
+ ICE share access 


nreg create tree atlerrpt 
2f share access 


[oeste mh znov an 
192.169.0.2 


192.168.0.4 
heo L3 
wi 


oaubor 7h 208/21 
197.100.0.7 > 192.100.0.4 


图 833 扫描 网 络 连接 视图 


附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
课外 选 做 
在 攻击 机 ( 即 宿主 机 ) 上 运行 流光 Fluxay V5. 0 扫描 工具 对 192. 168. 0. 4 虚拟 机 蜜 钠 实 
施 漏 洞 扫描 ,如 图 8. 3.4 所 示 。 


139(SMB) 


RPCHIR 
Microsoft Windows NT/2000/XP/2003 RPC DCOM SFR isis) (MS03-26) Exploit 


Remote Host OS is Windows 5,0 (Via SMB) 


Remote Host Null Session could be Established. 


图 834 流光 扫描 测试 


在 蜜 网 网 关上 对 流光 漏洞 扫描 过 程 中 的 每 个 网 络 连接 都 进行 了 完备 的 记录 ,从 图 8. 3.5 
蜜 网 网 关 数 据 摘要 视图 可 发 现 正在 扫描 的 攻击 机 IP, 图 8. 3.6 则 显示 了 其 扫描 的 每 个 网 络 


连接 的 详细 信息 。 
+ 263。 
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Honeywall: 1040620342 Created: Sat Jun 22 11:26:23 2013 Last Update: Sat Jun 22 


0:51 2013 
Bidirectional Flows Total Flows 208 
In Out In Out 
con ids con ids con ids con ids 
1 158 25 0 0 178 25 1 0 " 
Hour 19:00 7 11300 19700 
zt e 2 0 oag 25 7 o 本 mw was BERI farts 
Honeywall Details for 104062034 
Sensor ID: 1040620342 Sensor Name: Honeywall: 1040620342 
Install Date: Sat Jun 22 11:26:23 2013 Last Update: Sat Jun 22 19:00:51 2013 
State: online 
Country: Timezone: 
Latitude: Longitude: 
Network Type: 
Notes: 
Activity Report 
Top 10 Honeypots Top 10 Remote Hosts 
Flags Host Connections IDS events Host Connections IDS events 
192.168.4.4 6 0 172.16.188.1 191 25 
192.168.4.11 1 0 172.16.188.132 6 0 
172.16.15.1 5 o 
192.168.4.243 2 0 
Top 10 Source ports Top 10 Destination Ports 
Port Connections IDS events Port Connections IDS events 
8881 3 3 161 12 12 
8882 3 3 162 6 6 
9018 3 3 445 6 4 
8898 3 3 53 6 2 
9019 3 3 1434 2 1 
9035 3 3 139 24 0 
1026 2 1 137 16 0 
8915 1 1 90 14 0 
9009 1 1 79 10 0 
9060 1 1 21 8 0 
earch (short term soln) 
Time aw (dun 21 2013 19:00:52 nd Jun 22 2013 19:00:52 
IP Proto ANY v 


835 蜜 网 网 关 捕 获 的 漏洞 扫描 过 程 的 摘要 视图 


June 23rd 00:00:02 
11:54:52 


192.168.4.55 0 192.168.4.255 


138 0 kB 2 138 
(netbios- pkts --> (netbios- 
dgm) dgm) 

os unkn <--0 kB 0 a2 
pkts 
00:00:01 
155 
192.168.4.55 0 192.168.4.255 
137 0 kB 3 137 
(netbios-ns) ^ pkts --> (netbios-ns) 
os unkn <--0 kB 0 --- 
pkts 
00:01:03 


192.168.4.55 0 192.168.4.3 
1101 (pt2- 2 kB 27 pkts 1101 (pt2- 
discover) ES discover) 


os unkn <--0 kB 0 -— 
pkts 
June 23rd 00:00:02 
11:55:37 
192.168.4.55 0 192.168.4.5 
ICMP 8 (8) O kB 4 pkts o (0) 
-> 
o os unkn <--0 kB 4 --- 
pkts 
June 23rd 00:00:02 
11:55:46 
192.168.4.5 0 192.168.4.55 
ICMP 3 (8) 0 kB 4 pkts o (0) 
<-> 
os unkn <--0 kB 4 -— 
pkts 
00:00:01 


192.168.4.5 0 192.168.4.55 
TCP 5937 (5937) 0 ke 3 pkts - 25 (smtp) 
-> 


2 UNKNOWN <--0 kB 2 == 


图 836 扫描 网 络 连接 视图 


8.4 渗透 攻击 实验 
实验 器 材 
虚拟 蜜 网 软件 综合 系统 ,1 套 。 
PC( Windows XP/Windows 7).1 #. 
预习 要 求 


(1) 做 好 实验 预习 ,复习 虚拟 蜜 网 技术 的 有 关内 容 。 
(2) 熟悉 虚拟 蜜 网 的 使 用 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 

掌握 利用 虚拟 蜜 网 技术 进行 系统 渗透 攻击 扫描 的 方法 。 
实验 环境 

操作 系统 为 Windows XP 的 PC 一 台 。 

预备 知识 

CD 蜜 网 技术 。 

(2) 虚拟 蜜 网 原理 。 

pip 


在 宿主 机 上 安装 Metasploit 渗透 攻击 工具 : 从 http://www. metasploit. com/ 
projects/Framework/downloads. html F 载 Metasploit Framework 2. 6 for Windows 并 
安装 。 

Metasploit 渗透 攻击 测试 : 运行 MSFConsole, 输 入 针对 MS05-039 即 插 即 用 服务 漏洞 
的 渗透 攻击 命令 ,获得 反 向 的 shell( 注 意 : 需 打开 宿主 主机 的 个 人 防火 墙 ,如 微软 防火 墙 ,使 
得 能 够 接收 4444 端口 的 连 入 ) ,如 图 8.4.1 所 示 。 

对 蜜 网 网 关 记 录 的 攻击 数据 进行 分 析 , 验证 蜜 网 的 攻击 数据 捕获 和 分 析 功 能 ,如 
图 8. 4. 2 至 图 8.4.7 所 示 。 


实验 报告 要 求 
。 实验 目的 。 
。 附 上 实验 过 程 的 截图 和 结果 截图 。 


阐述 遇 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 
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ESFConsole 


upported Exploit Targets 


8 Windows 2888 SPB-SP4 English 
Windaus P4 English/French/Gernan/Dutch 
ndows 
Window 


(win32 reverse? > t TARGET i 


039_pnp(win32_reverse) > check 
800 target 


be vulm 
Peo 
tarting Reverse Handler- 
a Windous 2888 tar 
request... 
at connection fron 192.168.8.2:4321 C 192.168.8.4:183? 


BƏ LUersion 5.89.2 
AAA Microsoft Corp 


2006-18-20 <DIR> Documents and tings 
2006-10-20 14 <DIR> Program Files 
< tools 


WINNT 


图 841 MS05 08B8 漏 洞 渗透 攻击 过 程 


The Honeynet Walleye: Honeywall Web In 


Data Analysis System Admin 
Hcneywall: 192.168.1.3 Created: Sat Oct 7 5 2006 Last Update: Sat Oct 7 
7:11 2006 


Bidirectional Flows Total Flo ies 
In Out In Out | | | 
con ids «con ids con ids con i 1100 
17S GEN DEUM SEL UNE CEU | I i 
Heur 2 7306 15:00 2 
HE NE 4 vid a 0 
eni [Bieter Tranctered M N-10 Alerts 
Sensor 3232235779 Se r Name: Honeywall; 192,168,1.3 
Install Date Sat Oct 7 22:22:55 2006 Last Update Sat Oct 7 23:47:11 2006 


State: online 
Country CN Timezone 2 
Latitude: Longitude: 
Network Type: edu 
Notes: Peking University Jianwei's Honeynet 
Activity Report 
Top 10 Honeypets Top 10 Remote Hosts 
Flags Host Connections IDS ever Host Connections IDS events 
Sebeked 192.16 2 192.168.0.2 3 3 
192.169.229.1 1 n 
Top 10 Source Ports Top 10 Destination Ports 
Port Connections IDS events Pert Connections IDS events 
4229 2 2 139 3 3 
4227 1 1 4321 1 n 
1030 ds a 137 d n 
137 i D  ii01 i o 
1101 i a 


图 842 蜜 网 网 关 对 渗透 攻击 测试 的 摘要 视 区 


V 


Connections Observed from Sensor 3232235779 After Sat Oct 7 22:47:45 2006 Before Sat Oct 7 23:47:45 


2006 
October 7th 23:45:57 00:00:01 €-1-NETBIOS SMB IEC$ share access 
192.168.0.2 => 192.168.0.4 

Tcp 422) — 1kB 13 pkts -->  netbiosssn 

FIM Windows — «—1kB 11 pkts 

October 7th 23:46:08 00:00:01 <-1-NETBIOS SMB IFC$ share access 

j 192.168.0.2 -> 192.168.0.4 -0-unkrown signature 

Tep 4229 2 kB 13 pkts -->  netbios-ssn 

RST Windows  <--1 kB 11 pkis 


图 843 向 蜜 缸 主机 发 起 的 向 内 连接 视图 (对 应 chek 和 epot) 


[Bdtober 7th 23:46:08 00:0010 
全 PID:215 192.168.0.4 ze 192.168.0.2 
ICP 1030-0 kB 8 pkts -> rwhois 


i CoN os Un«n <--0 kB 5 pkts 


图 844 向 外 发 起 的 反 向 shdl 连接 


oneynet walleye: Honeywall Web Interface 


Data Analysis System Admin 


192.168.0.4 


图 845 Re shel 连接 对 应 的 详细 进程 视图 


Host IP 192,168.0.4 View this process's connections: 
E "T View all connections from this process tree: 图 
First Sat Oct 7 23145109 2006 View Process Tree for this Process: [B= 
Last Sat Oct 7 28:45:33 2006 View Details for this Process: QA 
Commands 
cmd axe 
Timestamp File Name User 1D Inode File Descr 
Read Datails Fb lnode Time up Bytes Read Ave Raad Lan 
g o [] 2006-10-07 23:46:05 0 6865 37 
i z al 
23141147 C:\OIMIT\ eyeand2sed V 加 
[23111117 3 
23:11:17 E 
[23:11:18 Caiz 
[annus 


[23:11:18 


2006-10-20 15:05 <DIR> Docunante and Settings 


图 846 RA shal 连接 中 的 键 击 记 录 
“ 267 


Elle 


ts Hel 


Taaah of 


xe&igesost! 


QQQhiaMEx eS | 


Eher [fp addr aq 192 168.04 ard ip addr aq 199 168.02) and (sp por + Exprassion Clear 


Apply | 


No. | Time Source 


3 0.008362 2 «0.4 
3 0.621723 192.168.0.4 
5 0.740846 — 192.168.0.2 
6 0.741653 192.168.0.4 
7 0.937470 — 192.168.0.2 
B 8.049395 — 192.168.0.2 
9 8.053964 192.168.0.4 
10 8.180338 — 182.168.0.2 
11 8.181017 182.168.0.4 
12 8.438308 192.168.0.2 
13 9.099874 ^ 192.168.0.2 
14 9.102057 192.168.0.4 
15 9.219661 ^ 192.168.0.2 
16 9.220396 192.168.0.4 
17 9.477801 ^ 192.168.0.2 
18 10.885489 192.168.0.2 


bytes on wire, 
四 Ethernet I1, src: vmware 3f:a| 
由 Internet protocol, src: 192.14 
|n Transmission control Protocol 


es Gc DU OC 
00 30 00 S0 40 00 BO 
QU 02 04 Q6 10 el 0? 
fa fü 59 ad 00 00 02 04 


File" C3DCCUME-4 UlanwehLOCALS irem 
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Destination Info 


122.168.0.2 > 
122.168.0.2 TCP — 1030 > 4321 

152.168.0.4 TCR — 4321 > 1030 [ack] seg-l Ack=43 win=17478 Len-ü 

132.168.0.2 TCP 1030 > 4321 [PSH, ACK] Seq=43 Ackel win=54240 Len=52 
122.168.0.4 TCP 4321 > 1030 [ACK] seq=1 Ack-105 win-17418 Len=0 

152.168.0.4 TCR — 4321 > 1030 [PSH, ACK] seg-1 Ack-105 win-17416 Len-5 4 


Follow TCP 


-Stream Content 


Microsoft windows 2000 [version 5.00.7195] 


e3 
:\WINNT\system32>ed V 
d N 


1985-2000 Microsoft Corp. 


ydir 
ir 


<DIR> 
<DIR> 
<DIR> 
<DIR> 


006-10-20 


006-10-20 
0056-16-20 
06-16-20 


D 
3,204, 743,168 
e:\ocd tools 


Documents and settings 
Program Files 
tools 


Save As) 


Print 


Entire conversation (516 bytes) 


图 847 RE shel 连 接 原始 数 


«Je ASCII O EBCDIC O HexDump O CAnays O Raw 


Filtar out this stream Close 


据 包 流 重组 结果 


第 9 音 操作 系统 安全 实验 


9.1 Windows 操作 系统 安全 实验 


实验 器 材 
MBSA (Microsoft Baseline Security Analyzer) 工 具 ,1 套 。 
PC,1 4. 
实验 任务 


掌握 Windows 账户 与 密码 的 安全 设置 .文件 系统 的 保护 和 加 密 、 安 全 策略 与 安全 模板 
的 使 用 .审核 和 日 志 的 启用 、 本 机 漏洞 检测 软件 MBSA 的 使 用 ,建立 一 个 Windows 操作 系 
统 的 基本 安全 框架 。 


实验 环境 


一 台 安 装 Windows 2000/XP 操作 系统 的 计算 机 ,磁盘 格式 配置 为 NTFS, 预 装 MBSA 
LR, 


预备 知识 


(1) 账户 和 口令 。 

(2) 文件 系统 。 

(3) 日 志和 审核 。 

(4) 安全 漏洞 扫描 。 

实验 步骤 

1 账户 和 口令 的 安全 设置 

1) 删除 不 再 使 用 的 账户 ,禁用 Guest 账户 

共享 账户 Guest 账户 等 具有 较 弱 的 安全 保护 ,常常 都 是 黑客 们 攻击 的 对 象 。 系 统 的 账 
户 越 多 ,被 攻击 者 攻击 成 功 的 可 能 性 越 大 。 因 此 ,要 及 时 检查 和 删除 不 必要 的 账户 ,必要 时 ， 
禁用 Guest 账户 。 

(1) 检查 和 删除 不 必要 的 账户 。 

右 击 “ 开 始 ”, 打 开 “ 资 源 管理 器 ” ,选择 “控制 面板 ”中 的 “用 户 和 密码 ”项 。 

在 弹出 的 对 话 框 ( 见 图 9.1. 1) 中 列 出 了 系统 的 所 有 上 账户。 确认 各 账户 是 否 仍 在 使 用 ， 
删除 其 中 不 用 的 Guest 账户 等 。 

(2) Guest 账户 的 禁用 。 

为 了 便于 观察 实验 结果 ,确保 实验 用 机 在 实验 前 可 以 使 用 Guest 账户 登录 。 
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图 911 用 户 和 密码 
打开 “控制 面板 ”中 的 “管理 工具 ”, 选 中 “计算 机 管理 ”中 “本 地 用 户 和 组 ”, 打 开 “ 用 户 ”， 


弹出 如 图 9.1.2 所 示 的 窗口 。 


912 用 户 窗口 


右 击 Guest JH P ,弹出 如 图 9. 1. 3 所 示 的 对 话 框 ,选择 “属性 ”, 在 弹出 的 对 话 框 中 的 “ 帐 
户 已 停 用 ”一 栏 前 打 钩 。 
确定 后 ,Guest 前 的 图 标 上 会 出 现 一 个 红色 的 又 。 此 时 再 次 使 用 Guest 账户 登录 , 则 会 
显示 “您 的 帐户 已 被 停 用 ,请 与 管理 员 联 系 ”。 
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913 Qet 属性 


2) 启用 账户 策略 
账户 策略 是 Windows 账户 管理 的 重要 工具 。 
打开 ”控制 面板 ”> 管理 工具 ”本 地 安全 策略 ”, 选 择 * 帐 户 策略 >, 如 网 9.1.4 所 示 。 


图 914 账户 策略 


双击 “密码 策略 ”, 弹 出 如 图 9. 1. 5 所 示 的 窗口 。 密 码 策略 用 于 决定 系统 密码 的 安全 规 
则 和 设置 。 
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辆 强制 密码 历史 
RSPR PRA... 


图 915 密码 策略 


其 中 ,符合 复杂 性 要 求 的 密码 是 具有 相当 长 度 ,同时 含有 数字 、 大 小 写字 母 和 特殊 字符 
的 序列 。 双 击 其 中 每 一 项 ,可 按照 需要 改变 密码 特性 的 设置 。 

(D 双击 "密码 必须 符合 复杂 性 要 求 ”在 弹出 的 如 图 9. 1. 6 所 示 的 对 话 框 中 ,选择 “已 
m. 


图 916 启用 指定 策略 


下 面 看 一 下 策略 是 否 启 动 ,打开 “控制 面板 ”中 “用 户 和 密码 ”项 ,在 弹出 的 如 图 9. 1.7 所 
示 的 对 话 框 中 选择 一 个 用 户 后 , 单 击 “设置 密码 ”按钮 。 

在 出 现 的 设置 密码 窗口 中 输入 密码 。 此 时 设置 的 密码 要 符合 设置 的 密码 要 求 。 例 如 ， 
车 输入 密码 为 L123456, 则 弹出 如 图 9. 1. 8 所 示 的 对 话 框 ; 若 输入 密码 为 L_123456, 密 码 被 
系统 接受 。 
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Bjcuest Guests 
BEIUSR BUPT-K2KKOZ]8Z1 Guests 
'AM_BUPT-K2KK0ZJ8Z1 Web Applications; Guests 


Administrators 


mmo... | aew | BHO | 


图 917 用 户 和 密码 图 918 密码 不 符合 要 求 


(2) 双击 如 图 9. 1. 5 所 示 的 策略 列表 中 的 “密码 长 度 最 小 值 ”, 在 弹出 的 对 话 框 ( 见 
图 9. 1.9) 中 设置 可 被 系统 接纳 的 账户 密码 长 度 最 小 值 , 例 如 设置 为 6 个 字符 。 一 般 , 为 了 
达到 较 高 的 安全 性 ,建议 密码 长 度 的 最 小 值 为 8 位 。 


图 919 密码 长 度 最 小 值 


(3) 双击 策略 列表 中 的 “密码 最 长 存留 期 ”, 在 弹出 的 对 话 框 ( 见 图 9.1. 10) 中 设置 系统 
要 求 的 账户 密码 的 最 长 使 用 期 限 为 42 天 。 设 置 密码 自动 保留 期 ,可 以 提醒 用 户 定期 修改 密 
码 ,防止 密码 使 用 时 间 过 长 带 来 的 安全 问题 。 

(4) 双击 策略 列表 中 的 “密码 最 短 存留 期 ”, 在 弹出 的 如 图 9. 1. 11 所 示 的 对 话 框 中 修改 
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图 9110 密码 最 长 存留 期 


设置 密码 最 短 存留 期 为 7 天 。 在 密码 最 短 存留 期 内 用 户 不 能 修改 密码 。 这 项 设置 是 为 了 避 
免 人 侵 的 攻击 者 修改 账户 密码 。 


图 911 密码 最 短 存留 期 


(5) 双击 策略 列表 中 的 “强制 密码 历史 ”和 “为 域 中 所 有 用 户 使 用 可 还 原 的 加 密 储存 密 
码 ”, 在 相继 弹出 的 类 似 对 话 框 中 ,设置 让 系统 记 住 的 密码 数量 和 是 否 设置 加 密 存 储 密码 。 

至 此 ,密码 策略 设置 完毕 。 

在 账户 策略 中 的 第 2 项 是 “帐户 锁定 策略 ”, 它 决定 系统 锁定 账户 的 时 间 等 相关 设置 。 

打开 图 9.1.5 中 的 “帐户 锁定 策略 ”, 弹 出 如 图 9. 1. 12 所 示 的 窗口 。 

CD 双击 “帐户 锁定 阐 值 ”, 在 弹出 的 对 话 框 ( 见 图 9.1.13) 中 设置 账户 被 锁定 之 前 经 过 
的 无 效 登录 次 数 ( 如 3 次 ) ,以 便 防 范 攻击 者 利用 管理 员 身 份 登 录 后 无 限 次 地 猜测 账户 的 密 


码 ( 穷 举 法 攻击 )。 
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20 分 钟 之 后 20 分 钟 之 后 
20 548 20 94h 
3 议 无 效 登 录 ”3 议 无 效 登 录 


图 9113 账户 锁定 阅 值 


(2) 双击 “帐户 锁定 时 间 ”, 在 弹出 的 对 话 框 ( 见 图 9.1.14) 中 设置 账户 被 锁定 的 时 间 ( 如 
20 分 钟 )。 此 后 , 当 某 账户 无 效 登录 (如 密码 错误 ) 的 次 数 超过 3 次 时 ,系统 将 锁定 该 账户 
20 分 钟 。 

3) 开机 时 设置 为 “不 自动 显示 上 次 登录 账户 ” 

Windows 默认 设置 为 开机 时 自动 显示 上 次 登录 的 账户 名 。 许 多 用 户 也 采用 了 这 一 设 
置 。 这 对 系统 来 说 是 很 不 安全 的 ,攻击 者 会 从 本 地 或 Terminal Service 的 登录 界面 看 到 用 
PA. 


要 禁止 显示 上 次 的 登录 用 户 名 ,可 做 如 下 设置 : 
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图 9114 账户 锁定 时 间 


右 击 “ 开 始 ” 按 钮 ,打开 “资源 管理 器 ”, 选 中 “控制 面板 ”, 打 开 “ 管 理工 具 ” 选 项 下 的 “本 地 
安全 策略 ”项 , 选择 “本 地 策略 ”中 的 “安全 选项 ”, 并 在 图 9. 1. 15 所 示 的 窗口 右 侧 列表 中 选 
择 “ 登 录 屏 幕 上 不 要 显示 上 次 登录 的 用 户 名 ”选项 ,弹出 图 9. 1. 16 所 示 的 对 话 框 。 选 择 “ 已 
启用 ”, 完 成 设置 。 


未 签 之 陈 动 程序 的 安装 捍 作 _ 7i 


图 9115 本 地 安全 策略 窗口 


4) 禁止 枚 举 账户 名 
为 了 便于 远程 用 户 共 享 本 地 文件 , Windows 默认 设置 远程 用 户 可 以 通过 空 连接 枚 举 出 
所 有 本 地 账户 名 ,这 给 了 攻击 者 可 乘 之 机 。 


要 禁止 枚 举 账 户 名 ,执行 以 下 操作 : 
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E 登录 屏幕 上 不 要 显示 上 次 登录 的 用 户 名 


本 地 第 略 设置 : 
© CEA DI 
C EBRO 


如 果 域 级 策略 设置 已 定义 ， 它 们 会 蔡 代 本 地 策略 设置 。 


[L | xm | 


图 9116 设置 对 话 框 


打开 “本 地 安全 策略 ”项 ,选择 “本 地 策略 ”中 的 “安全 选项 ”, 如 图 9. 1. 17 所 示 ,选择 “对 
匿名 连接 的 额外 限制 ”项 ,在 “本 地 策略 设置 ”中 选择 “不 允许 枚 举 SAM 帐号 和 共享 ”, 如 
图 9.1. 18 所 示 。 


EALAN Manager 身份 验证 级 别 

国安 全 通道 : 对 安全 通道 数据 ,. 

Best: 对 安全 通道 数据 ,， 

安全 通道 : 对 安全 通道 数据 .…. 

审核 策略 “| 加 安全 通道 : 需要 强 (Window... 
Cà 用 户 权利 指派 | 辆 当 登 录 时 | 间 用 完 时 自动 注 .…. 
国 登 录 屏幕 上 不 要 显示 上 次 
a 公 钥 策 略 国 对 备份 和 还 原 权限 的 使 用 ... 
遇 PP 安全 策略 ， 在 | 辆 对 服务 器 通讯 进行 数字 签 .…. 


加 故障 恢复 控制 台 : 允许 对 所 
大 故障 恢复 控制 台 :; 允许 自动 
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图 9117 本 地 安全 设置 窗口 


此 外 ,在 “安全 选项 ”中 还 有 多 项 增强 系统 安全 的 选项 ,请 读者 自行 查看 。 

2. 文件 系统 安全 设置 

CD 打开 采用 NTFS 格式 的 磁盘 ,选择 一 个 需要 设置 用 户 权 限 的 文件 夹 。 这 里 选择 
E 盘 下 的 “工具 备份 ”文件 夹 。 

(2) 右 击 该 文件 夹 , 选 择 “ 属 性 ”, 在 属性 对 话 框 中 选择 “安全 ”选项 卡 ,如 图 9. 1.19 所 示 。 

(3) 将 “允许 将 来 自 父 系 的 可 能 继承 权 传 播 给 该 对 象 ” 之 前 的 勾 去 掉 , 以 去 掉 来 自 父 文 
件 夹 的 继承 权限 (如 不 去 掉 则 无 法 删除 可 对 父 文件 夹 进行 操作 的 用 户 组 的 操作 权限 )。 
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图 9118 对 匿名 连接 的 额外 限制 图 9119 文件 夹 安全 属性 


(4) 选中 列表 中 的 Everyone 组 , 单 击 “ 删 除 ” 按 钮 ,删除 Everyone 组 的 操作 权限 。 由 于 
新 建 的 用 户 往 往 都 归属 于 Everyone 组 ,而 Everyone 组 默认 情况 下 对 所 有 系统 驱动 器 都 有 
完全 控制 权 ,删除 Everyone 组 的 操作 权限 可 以 对 新 建 用 户 的 权限 进行 限制 。 原 则 上 只 保留 
允许 访问 此 文件 夹 的 用 户 和 用 户 组 。 

(5) 选择 相应 的 用 户 组 ,在 对 应 的 复 选 框 中 打 钓 ,设置 其 余 用 户 组 对 该 文件 夹 的 操作 
权限 。 

(6) 单 击 “高 级 ”按钮 ,弹出 如 图 9. 1. 20 所 示 的 窗口 ,查看 各 用 户 组 的 权限 。 


[5m (gm $0 lam | 于 | 
ARF Administrators (&... 完全 控制 该 文件 夹 ， 子 文件 夹 及 文件 
TAGS Power Users (BUPT... 读 职 及 运行 。 该 文件 夹 ， 子 文件 夹 及 文件 


图 9120 用 户 权 限 


3. 用 加 密 软件 EFS 加 密 硬盘 数据 
(1) 打开 “控制 面板 ”中 的 “用 户 和 密码 ”, 创 建 一 个 名 为 MYUSER 的 新 用 户 。 
(2) 打开 磁盘 格式 为 NTFS 的 磁盘 ,选择 要 进行 加 密 的 文件 夹 , 这 里 仍 选择 “E:\ 工 具 
备份 ”。 
+ 278 ， 


(3) 右 击 该 文件 夹 ,打开 * 属 性 ?窗口 ,选择 “常规 ?选项 卡 , 单 击 “ 高 级 ”按钮 ,弹出 如 
图 9. 1. 21 所 示 的 对 话 框 。 

(4) 选择 “加 密 内 容 以 便 保 护 数据 ”, 单 击 “ 确 定 ” 按 钮 。 

(5) 在 弹出 的 对 话 框 中 选择 “将 更 改 应 用 于 该 文件 夹 、 子 文件 夹 和 文件 ”, 如 图 9. 1. 22 
所 示 。 


me | omm | 
9121 文件 夹 高 级 属性 对 话 框 9122 mÈ 


C6) 加 密 完 毕 后 保存 当前 用 户 下 的 文件 ,选择 “开始 ”关机 ”, 在 下 拉 列 表 中 选择 “ 注 
销 X XX 用 户 ”( 即 当前 用 户 ), 以 刚才 新 建 的 MYUSER 用 户 登 录 系 统 。 再 次 访问 “工具 备份 ” 
文件 夹 , 打 开 其 中 的 文件 时 ,弹出 如 图 9. 1. 23 所 示 的 错误 窗口 。 


图 9123 错误 窗口 


这 说 明 该 文件 夹 已 经 被 加 密 ,在 没有 授权 的 情况 下 无 法 打开 。 

(7) 再 次 切换 用 户 ,以 原来 加 密 文 件 夹 的 管理 员 账 户 登录 系统 。 单 击 “ 开 始 ”, 在 “运行 ” 
框 中 输入 mmc, 打 开 系统 控制 台 。 单 击 左 上 角 的 “控制 台 ”, 选 择 “ 添 加 /删除 管理 单元 ”, 在 
弹出 的 对 话 框 中 单 击 “ 添 加 ”按钮 ,选择 添加 “证 书 ”, 如 图 9. 1. 24 所 示 ,为 当前 的 加 密 文件 系 
统 EFS 设置 证 书 。 

(8) 在 控制 台 窗 口 左 侧 的 目录 树 中 选择 “证 书 ” 盖 个 人 ”一 “证书 ”。 可 以 看 到 用 于 加 密 
文件 系统 的 证 书 显示 在 右 侧 的 窗口 中 ,如 图 9. 1. 25 所 示 。 双 击 此 证 书 , 选 择 “ 详 细 信 息 ” 选 
项 卡 , 则 可 以 看 到 证 书 中 包含 的 详细 信息 ,主要 的 一 项 是 所 包含 的 公 钥 ,如 图 9. 1. 26 所 示 。 
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图 9136 证 书 
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(9) 选中 用 于 EFS 的 证 书 , 右 击 ,在 弹出 的 快捷 菜单 中 选择 “所 有 任务 ”命令 ,在 展开 的 
菜单 中 选择 “导出 ”命令 , 则 弹出 * 证 书 导出 向 导 ”, 单 击 * 下 一 步 ? 按 钮 ,选择 “是 ,导出 私 钥 ”， 
如 图 9. 1. 27 所 示 。 接 着 设置 保护 私 钥 的 密码 ,如 图 9.1. 28 所 示 。 然 后 将 导出 的 证 书 文件 
保存 在 磁盘 上 的 某 个 路 径 ,如 图 9. 1. 29 所 示 。 这 就 完成 了 证 书 导 出 ,如 图 9. 1. 30 所 示 。 


9127 将 私 钥 和 证 书 一 起 导出 


ANB 保护 私 钥 的 密码 


(10) 再 次 切换 用 户 , 以 新 建 的 MYUSER 登录 系统 ,重复 步骤 (7) 和 (8), 右 击 选中 的 
“证 书 ” 文 件 夹 ,在 快捷 菜单 中 选择 “所 有 任务 ”中 的 “导入 ”命令 ,在 弹出 的 “证 书 导 入 向 导 ” 对 
话 框 中 单 击 “ 下 一 步 ” 按 钮 ,在 地 址 栏 中 填 入 步骤 (9) 中 导出 证 书 文件 的 地 址 ,导入 该 证 书 , 如 
图 9.1. 31 所 示 。 
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AND 指定 导出 的 文件 名 


E:\book. pfx 


中 所 有 证 书 W 
个 人 信息 交换 (+, pfx) 


图 9130 导出 完成 


证 书 导入 向 导 


图 9131 导入 文件 


(OD 输入 在 步骤 (9) 中 为 保护 私 钥 设置 的 密码 ,如 图 9. 1. 32 所 示 。 选 择 将 证 书 放 和 人 
“个 人 ”存储 区 中 , 单 击 “ 下 一 步 ”按钮 ,完成 证 书 导入 ,如 图 9.1.33 所 示 。 


证 书 导入 向 导 E xi 
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ATER, DEBT. 


为 私 钥 键 入 密码 。 
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图 9132 输入 密码 


xi 
正在 完成 证 书 导 入 向 导 


您 已 成 功 地 完成 证 书 导入 向 导 。 


悠 已 指定 下 列 设 置 : 
E 


PFX 
E: \book. pfx 


图 9133 完成 导入 


(12) 再 次 双击 加 密 文件 夹 中 的 文件 ,文件 可 以 正常 打开 ,如 图 9. 1.34 所 示 。 说 明 该 用 
户 已 成 为 加 密 文 件 的 授权 用 户 。 

4. 启用 审核 与 日 志 查看 

1) 打开 审核 策略 

CD 打开 “控制 面板 ”中 的 “管理 工具 ”, 选 择 “ 本 地 安全 策略 ”。 

(2) 打开 “本 地 策略 ”中 的 “审核 策略 ”, 可 以 看 到 当前 系统 的 审核 策略 ,如 图 9. 1. 35 
所 示 。 

G) 双击 每 项 策略 可 以 选择 是 否 启用 该 项 策略 。 例 如 “审核 帐户 管理 ”将 对 每 次 建立 新 
用 户 .删除 用 户 等 操作 进行 记录 , “审核 登录 事件 ”将 对 每 次 用 户 的 登录 进行 记录 ,“ 审 核 过 程 
追踪 ”将 对 每 次 启动 或 者 退出 的 程序 或 者 进程 进行 记录 。 根 据 需 要 启用 相关 的 审核 策略 。 
审核 策略 启用 后 ,审核 结果 放 在 各 种 事件 日 志 中 。 
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9134 打开 文件 


图 9135 审核 策略 


2) 查看 事件 日 志 

CD 打开 “控制 面板 ?中 的 “管理 工具 ,双击 “* 事 件 查 看 器 ”, 如 图 9. 1. 36 所 示 , 可 以 看 到 
Windows 2000/XP ff] 3 种 日 志 , 其 中 安全 日 志 用 于 记录 上 面 在 审核 策略 中 所 设置 的 安全 
事件 。 

(2) 双击 “安全 日 志 ”, 可 查看 有 效 登 录 和 无 效 登录 尝试 等 安全 事件 的 具体 记录 。 例 如 ， 
查看 用 户 登 录 / 注 销 的 日 志 , 弹 出 如 图 9. 1. 37 和 图 9. 1. 38 所 示 的 对 话 框 。 

图 9.1.37 和 图 9. 1. 38 分 别 为 登录 事件 的 失败 审核 与 成 功 审核 。 可 以 看 到 日 志 中 详细 
记录 了 登录 的 时 间 、 账 户 名 和 错误 类 型 等 信息 。 其 中 。“ 事 件 ID” 用 于 标识 各 事件 的 类 型 。 
各 ID 的 意义 可 以 查看 Microsoft 网 站 。 
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日 志 ”应 用 程序 铺 误 记录 
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图 9137 登录 失败 日 志 
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图 913 登录 成 功 日 志 


5. 启用 安全 策略 与 安全 模板 
1) 启用 安全 模板 
开始 前 ,请 记录 当前 系统 的 账户 策略 和 审核 日 志 状 态 , 以 便 与 实验 后 的 设置 进行 比较 。 
d) 单 击 “ 开 始 ”, 选 择 “ 运 行 ”, 在 对 话 框 中 输入 mmc, 打 开 系 统 控制 台 ,如 图 9. 1. 39 
所 示 。 
‘jn AL 
| sec) BOW #04) ||D oa | 四 


‘jn 控制 台 根 节点 
| 操作 查看 WW bee || e 9 | [m 2 
oie ed] [se | 


可] 控制 | 谷 根 节点 


图 9139 控制 台 
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(2) 选择 菜单 “控制 台 ”>“ 添 加 /删除 管理 单元 ”命令 , 单 击 “ 添 加 ”按钮 ,在 弹出 的 如 
图 9. 1. 40 所 示 的 窗口 中 分 别 选择 “安全 模板 ”“ 安 全 配置 和 分 析 ”, 单 击 “ 添 加 ”按钮 后 ,关闭 
窗口 ,并 单 击 “ 确 定 ” 按 钮 。 


$ pcAnywhere Host Administrator Copyright 2003 Sym... 


Microsoft Corporatió 
Microsoft Corporati 
VERITAS Software C... 
Executive Software... 
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9140 管理 单元 


(3) 此 时 系统 控制 台中 根 节点 下 添加 了 “安全 模板 ”“ 安 全 配置 分 析 ” 两 个 文件 夹 。 打 
开 “ 安 全 模板 ”文件 夹 , 可 以 看 到 系统 中 存在 的 安全 模板 ,如 图 9. 1. 41 的 窗口 。 


境 变 量 DSDIT、DSLOG 
“包括 “用 户 权限 \ 受 限 组 


图 9141 安全 模板 


右 击 模板 名 称 ,在 快捷 菜单 中 选择 “设置 描述 ”命令 ,可 以 看 到 该 模板 的 相关 信息 。 
选择 “打开 ”, 右 侧 窗 口 出 现 该 模板 中 的 安全 策略 ,双击 每 种 安全 策略 可 看 到 其 相关 配置 ， 
如 图 9.1.42 所 示 。 
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审核 、 用 户 权利 和 安全 选项 策略 
事件 日 志 设 置 和 事件 查看 器 


图 91 和 人 模板 的 具体 设置 


(4) 右 击 “ 安 全 配置 和 分 析 ”, 选 择 “ 打 开 数 据 库 ?命令 。 在 弹出 的 对 话 框 中 输入 欲 新 建 
安全 数据 库 的 名 称 , 例 如 起 名 为 mycomputer. sdb, 如 图 9. 1. 43 所 示 。 单 击 “ 打 开 ” 按 钮 ,在 
弹出 的 窗口 中 ,根据 计算 机 准备 配置 成 的 安全 级 别 ,选择 一 个 安全 模板 ,将 其 导入。 


meo | 
安全 数据 库 文件 (*. sdb) E | 


[注意 : 配置 结束 后 ， LLULULLILLE 


图 914 打开 数据 库 


C5) 右 击 " 安 全 配置 与 分 析 ” ,选择 "立即 分 析 计 算 机 ?命令 , 单 击 “ 确 定 ” 按 钮 。 系 统 开始 
按照 上 一 步 中 选 定 的 安全 模板 ,对 当前 系统 的 安全 设置 是 否 符 合 要 求 进行 分 析 。 分 析 完 毕 
后 ,可 在 目录 中 选择 查看 各 安全 设置 的 分 析 结 果 , 如 图 9.1. 44 所 示 。 


* 288 + 


ECUK 窗口 (W) FMH Meene li 


Der TONNER 
BERKER 
SERRES 
Peer 2X 7 天 
Ex bea ia rab d i 5 个 记 住 的 密码 
Lg securews BOP AAP RRA... 已 停 用 已 启用 
[Ð setup security 


P 密码 策略 

P 帐户 锁定 策略 
EE II 
Stas 
C9 受 限制 的 组 


图 9144 分 析 结 果 


(6) 右 击 “安全 配置 与 分 析 ”, 选 择 “ 立 即 配 置 计算 机 ”命令 , 则 按照 第 (4) 步 中 所 选择 的 
安全 模板 的 要 求 对 当前 系统 进行 配置 。 

如 果 事 先 对 系统 的 默认 配置 选项 做 了 记录 ,接着 记录 启用 安全 模板 后 系统 的 安全 设置 ， 
与 启用 前 进行 比较 , 即 可 发 现 , 如 果 选 用 的 安全 模板 级 别 较 高 , 则 使 用 安全 模板 后 系统 的 安 
全 配置 选项 增加 了 许多 。 

2) 创建 安全 模板 

CD 重复 启用 安全 模板 第 (1) 一 (4) 步 。 在 图 9. 1. 42 中 展开 “安全 模板 ”, 右 击 模板 所 在 
路 径 ( 即 图 中 的 C:/WINNT/Security/Templates) ,选择 “新 加 模板 ”, 在 弹出 的 对 话 框 中 填 
和 人 和 欲 新 加 入 的 模板 名 称 mytem ,在 “安全 模板 描述 ”中 填 入 “ 自 设 模板 ”*”。 可 以 看 到 新 加 模板 
出 现在 模板 列表 中 ,如 图 9.1.45 所 示 。 

(2) 双击 mytem, 在 显示 的 安全 策略 列表 中 双击 “账户 策略 ”下 的 “密码 策略 ”, 可 发 现 
其 中 任 一 项 均 显 示 “ 没 有 定义 ”。 双 击 欲 设置 的 安全 策略 (如 “密码 长 度 最 小 值 ”) ,弹出 如 
图 9. 1. 46 所 示 的 对 话 框 。 

(3) 在 “在 模板 中 定义 这 个 策略 设置 "前 打 钓 ,在 框 中 填 和 人 密码 的 最 小 长 度 7。 

(4) 依次 设 定 “ 账 户 策略 ”“ 本 地 策略 ”等 项 目 中 的 每 项 安全 策略 ,直至 完成 安全 模板 的 
设置 。 

至 此 , 自 设 安全 模板 mytem 创建 完毕 ,可 以 按照 启用 安全 模板 中 的 步骤 导入 系统 中 。 

6. 利用 MBSA 检查 和 配置 系统 安全 

MBSA 是 微软 公司 提供 的 安全 审计 工具 ,可 从 微软 公司 网 站 免费 下 载 ,其 安装 过 程 也 

E 常 简单 。 下 面 对 MBSA 的 使 用 方法 进行 介绍 。 
1) 检查 系统 漏洞 
(1) 双击 打开 MBSA ,在 弹出 的 窗口 中 选择 Scan a computer, 如 图 9. 1. 47 所 示 。 
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增强 SecurewS 设置 . 对 Power User ... 
配置 成 全 新 安装 时 NTFS 文件 \ 注 册 表 A... 
可 选 组 件 文件 安全 .多数 文件 可 能 不 可 … 
可 选 组 件 文件 安全 。 多 数 文件 可 能 不 可 … 
配置 成 全 新 安装 时 NTFS 文件 \ 注 册 表 A... 
配置 成 全 新 安装 时 NTFS 文件 \ 注 册 表 A..… 
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a Pick a computer to scan 

C Pick multiple computers to scan 
C Pick a security report to view 
[ View a security report 


See Also 


E] Microsoft Baseline Security 
Analyzer Help. 


C About Microsoft Baseline Security 
Analyzer 


G Microsoft Security Web site 


Welcome to the Microsoft Baseline Security Analyzer 


The Microsoft Baseline Security Analyzer checks computers running Microsoft 
Windows® Server 2003, Windows XP. Windows 2000, or Windows NT® 4.0 for common 
secur miconfiguatons. You must have administrator pivieges for each computer you want 


Scans can be performed locally and remotely against computers 
Windows Server 2003, Windows XP. Windows 2000, and Windows NT 4.0. Note that on 
computers running Windows XP and using simple fle sharing. only local scans can be 
performed. 


Scan a compuler 
Scan more than one computer 
View existing security reports 


图 914 MBSA 欢迎 界面 


(2) 在 弹出 的 窗口 中 填写 本 地 计算 机 名 称 或 IP 地 址 ,并 选择 希望 扫描 的 漏洞 类 型 。 这 


里 采用 全 部 漏洞 扫描 , 单 击 Start scan ,扫描 计算 机 ,如 图 9. 1. 48 所 示 。 
连接 Microsoft 网 站 ,因此 需要 事先 配置 好 网 络 连接 。 


中 需 


Ê Microsoft Baseline Security Analyzer 


® Baseline Security Analyzer 


Microsoft Baseline Security 
Analyzer 


LE] Welcome 

[C Pick a computer to scan 

C Pick multiple computers to scan 
Gi Pick a security report to view 


G View a security report 


See Also 


O Microsoft Baseline Security 
Analyzer Help. 


C About Microsoft Baseline Security 
Analyzer 


C Microsoft Security Web site 


Mrz 


注意 ,由 于 扫描 过 程 


Pick a computer to scan 


Specify the computer you want to scan. You can enter either the computer name or its IP 


less. 


Computer name: 


WORKGROUP\CZ 


(this computer) 


IP address: 


Security report name: 


%D% - %C% (%T%) 


p" 


domain, %C% = computer, %T% = date and time, 


XIP% = IP address 


Options: z 


Check for Windows vulnerabilities 


回 Check for weak passwords 


Check for IS vulnerabilities 
Check for SQL vulnerabilities 
Check for security updates 
O Use SUS Server: 


Leam more about Scanning Options 


Start scan 


havlik Techn 
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设置 漏洞 扫描 项 目 


(3) 扫描 完毕 后 ,弹出 如 图 9. 1. 49 所 示 的 安全 性 报告 。 


Ê Microsoft Baseline Security Analyzer 


® Baseline Security Analyzer 


Microsoft Baseline Security 
Analyzer 


C Welcome 

G Pick a computer to scan 

C Pick multiple computers to scan 
C Pick a security report to view 
C View a security report 


See Also 


C Microsoft Baseline Security 
Analyzer Help 


C About Microsoft Baseline Security 
Analyzer 


G Microsoft Security Web site 


Actions 


é& Print 


Copy 


View security report 


Sort Order: 


Score (worst first) e. 


Internet Information Services (IIS) Scan Results e] 


Vulnerabilities. 


x Parent Paths 


MSADC and 


Directories. 


securily report 


x IIS Lockdown The IIS Lockdown tool has not been run on the machine. 
Tool What was scanned 


How to correct this 


Parent paths are enabled in some web sites and/or virtual 
directories. 
What was scanned 


Result details How to correct this 


The MSADC and Scripts virtual directories are not present. 
Scripts Virtual What was scanned 


a 
Next security report ij 


All rights 


图 9149 安全 性 报告 


2) 查看 安全 性 报告 并 手动 修复 漏洞 

安全 性 报告 中 ,最 左 侧 一 栏 为 评估 结果 ,其 中 红色 和 黄色 的 又 号 表示 该 项 目 未 能 通过 测 
试 ;雪花 图 标 表 示 该 项 目 还 可 以 进行 优化 ,也 可 能 是 程序 跳 过 了 其 中 的 某 项 测试 ;感叹 号 表 
示 尚 有 更 详细 的 信息 ;绿色 的 对 钩 表示 该 项 目 已 通过 测试 。What was scanned 表明 检查 的 
项 目 ,Result details 中 则 详细 说 明了 该 项 目 中 出 现 的 问题 ,How to correct this 说 明了 解决 
的 方式 。 

COD 首先 查看 报告 中 评估 结果 为 叉 号 的 项 目 ( 这 里 选择 file system) ,打开 result detail, 
查看 该 项 检查 中 出 现 的 具体 问题 。 图 9. 1. 50 显示 的 是 对 磁盘 检查 的 结果 ,由 于 所 有 硬盘 都 
没有 使 用 更 加 安全 的 NTFS 文件 系统 ,所 以 评估 结果 显示 为 又 号 。 


É Baseline Security Analyzer 


Not all hard drives are using the NTFS file system. 
详细 结果 


评估 “Drive Letter 


9150 评估 的 详细 结果 
(2) 单 击 How to correct this, 弹 出 的 窗口 显示 了 有 关 如 何 修改 项 目 设置 的 提示 信息 。 
根据 提示 ,可 以 修改 不 符合 安全 性 要 求 的 设置 。 
(3) 完成 修改 后 ,再 次 进行 扫描 ,查看 修改 后 的 设置 是 否 已 经 达到 安全 要 求 。 
实验 报告 要 求 


。 实 验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
阐述 遇 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 


9.2 Linux 操作 系统 安全 实验 


实验 器 材 


Red Hat 9.0 系统 ,1 套 。 
PC;1 合 。 


实验 任务 


熟悉 Linux 环境 下 的 用 户 管理 .进程 管理 以 及 文件 管理 的 相关 操作 命令 ,掌握 Linux 操 
。292 。 


作 系 统 中 的 相关 安全 配置 方法 ,建立 Linux 操作 系统 的 基本 安全 村 
实验 环境 
安装 Red Hat 9. 0 操作 系统 的 计算 机 (虚拟 机 ) 。 
预备 知识 
(D Linux 常用 命令 
(2) Linux 文件 管理 。 
实验 步 又 


1. 账户 和 口令 安全 
1) 查看 和 添加 账户 
(1) E X Window 窗口 中 右 击 ,选择 “新 建 终端 ,输入 下 面 的 命令 行 


Trl 
m 
o 


[root@ localhost root]# useradd mylist 


利用 useradd 命令 新 建 名 为 mylist 的 新 账户 。 

(2) 输入 命令 行 

[root@ localhost root]# cat /etc/shadow 

利用 cat 查看 系统 中 的 账户 列表 ,其 中 一 部 分 列表 如 下 : 

loyl:$ 1$ ktYiazPES QCTSx3By6chicHUGBMos90: 12761 :0: 99999:7: : : 

shiyanshi:shiyanshi :12761:0:99999:7: : : 

1i:$ 1$ 1yhrLLst$ jOu6y8bGhn1jDpsSFz3Y8L/ :12762:0:99999:7: : : 

mylist:!!:12762:0:99999:7::: 

用 su 命令 切换 到 新 建 的 mylist 账户 ,重复 步骤 (2) ,检查 shadow 文件 的 权限 设置 是 否 
全 。 设置 安 全 时 ,普通 用 户 mylist 应 没有 查看 该 系统 文件 的 权限 。 在 终端 中 出 现 如 下 的 

Jim: 


cat: /etc/shadow: 权限 不 够 


2) 添加 和 更 改 密码 
(1) 在 终端 中 输入 


[root@ localhost root]# passwd mylist 


为 新 建 账户 添加 密码 。 注 意 ,系统 管理 员 无 须 输入 原来 密码 即 可 以 利用 passwd 命令 添加 
或 改变 任意 用 户 的 密码 ;但 普通 用 户 只 可 以 改变 自己 的 密码 。 
(2) 输入 后 将 依次 出 现 如 下 提示 : 


Changing password for user mylist. 
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully. 
* 293 * 


输入 密码 时 ,Linux 不 会 将 输入 显示 出 来 。 

(3) 输入 下 面 的 命令 ,查看 Linux 系统 中 是 否 有 用 于 检测 密码 安全 的 黑客 术语 字典 及 
密码 检测 模块 ; 

[root@ localhost root]# locate pam cracklib.so dict |grep crack 


如 果 有 ,终端 上 将 有 如 下 的 输出 : 


/lib/security/pam cracklib.so 

/var/www/manual/mod/mod php4/de/function.crack- closedict.html 
/var/www/manual/mod/mod php4/de/function.crack- opendict .html. 
/var./wwvi/manual/mod/mod php4/es/function.crack- closedict.html. 
/var/www/manual/mod/mod php4/es/function.crack- opendict .html. 
/var/www/manual/mod/mod php4/fr/function.crack- closedict.html. 


如 果 用 户 mylist 设置 的 密码 过 于 简单 ,如 单词 list, 系 统 将 弹出 以 下 提示 : 

BAD PASSWORD: it is based on a dictionary word 

(4) 改变 密码 ,直到 符合 系统 安全 要 求 为 止 。 

3) 设置 账户 管理 

在 终端 中 输入 ， 

[root@ localhost root]# chage -m 0 -M 90 -E 0 -W 10 mylist 

上 述 命令 强制 用 户 mylist 首次 登录 时 更 改口 令 , 同 时 还 强制 该 用 户 以 后 每 90 天 更 改 
一 次 口令 ,并 提前 10 天 提示 。 

4) 账户 的 禁用 与 恢复 

CD 输入 下 列 命令 行 ,以 管理 员 身 份 锁定 新 建 的 mylist 账户 

[root@ localhost root]# passwd - 1 mylist 


用 su 命令 转 人 mylist 账户 时 ,系统 将 出 现 以 下 提示 : 


[root@ localhost root]# su mylist 
Your account has expired; please contact your system administrator 
su: incorrect password 


(2) 输入 下 列 命令 行 , 检 查 用 户 mylist 的 当前 状态 : 
[root@ localhost root]# passwd - S mylist 

将 出 现 以 下 提示 : 

Password locked. 

(3) 输入 下 列 命令 行 ,将 锁定 账户 解锁 : 


[root@ localhost root]# passwd - u mylist 
Unlocking password for user mylist. 
passwd: Success. 
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D 建立 用 户 组 ,将 指定 用 户 添 加 到 用 户 组 中 。 
(1) 在 终端 中 输入 以 下 命令 : 


[root8 localhost root]# groupadd mygroup 


建立 名 为 mygroup 的 用 户 组 。 
(2) 输入 以 下 命令 


[root8 localhost root]# groupmod - n mygroupl mygroup 


将 新 建 的 用 户 组 更 名 为 mygroupl. 
groupmod 还 有 其 他 功能 ,读者 可 自己 尝试 使 用 。 
(3) 输入 下 列 命 令 行 , 将 新 建 用 户 mylist 加 入 到 新 建 的 组 mygroupl 中 : 


[root@ localhost root]# gpasswd - a mylist mygroupl 
系统 将 出 现 如 下 提示 : 

Adding user mylist to group mygroupl 

(4) 用 下 面 的 命令 将 mylist 设置 为 该 用 户 组 的 管理 员 , 

[root localhost root]# gpasswd -A  mylist mygroupl 


(5) 用 su 命令 转换 到 mylist 用 户 下 ,并 将 系统 中 的 一 个 普通 用 户 (lcy1) 加 入 到 
mygroupl 中 : 


[root@ localhost root]# su mylist 
[mylist@ localhost root]$ gpasswd -a lcyl mygroupl 
Adding user loyl to group mygroupl 


注意 : 被 设置 为 管理 员 组 的 用 户 可 以 将 其 他 用 户 加 入 该 组 中 ,普通 用 户 则 没有 此 权限 。 
6) 设置 密码 规则 
(1) 输入 以 下 命令 : 


[root@ localhost root]# vi /etc/login.defs 


编辑 login. defs 文件 。 
(2) 在 文件 中 找到 下 面 的 内 容 : 


# Password aging controls: 
# 
# PASS MAX DAYS Maximum number of days a password may be used. 
# PASS MIN DAYS Minimum nuber of days allowed between password changes. 
# PASS MIN IEN Minimum acceptable password length. 
# PASS WARN AGE Number of days warning given before a password expires. 
d 
PASS MAX DAYS 99999 
PASS MIN IMS 0 
PASS MN EN 5 
PASS WARN ACE 7 
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将 PASS MIN. LEN 参数 改 为 8,PASS_MAX_DAYS 参数 改 为 90 ,设置 相应 的 密码 规则 。 
7) 为 账户 和 组 相关 系统 文件 加 上 不 可 更 改 属 性 
CD 在 终端 中 输入 下 面 的 命令 行 (注意 空格 ) : 
[root@ localhost /]# chattr + i /etc/passwd 
系统 出 现下 列 提示 , 则 已 经 为 账户 密码 文件 加 上 不 可 更 改 属性 : 
You have new mail in /var/spool/mail/root 
(2) 再 次 建立 新 用 户 friend 时 ,无 法 完成 操作 命令 ,系统 出 现 以 下 提示 : 


[root@ localhost /]# useradd friend 
useradd: unable to open password file 


(3) 用 同样 的 方法 锁定 /etc/shadow( 用 户口 令 加 密 文 件 )、/etc/group( 用 户 组 名 列表 ) 
和 /etc/gshadow( 组 密码 文件 ) ,并 观察 此 后 建立 用 户 和 用 户 组 时 出 现 的 状况 。 
(4) 必要 时 ,输入 下 面 的 命令 行 去 除 文件 的 不 可 更 改 属性 : 


[root@ localhost /]# chattr - i /etc/passwd 


8) 删除 用 户 和 用 户 组 
CD 输入 下 面 的 命令 行 , 删 除 新 建 的 用 户 : 


[root@ localhost root]# userdel mylist 

(2) 输入 下 面 的 命令 行 ,删除 新 建 的 用 户 组 : 

[root localhost root]# groupdel mygroupl 

部 分 用 户 和 用 户 组 的 管理 也 可 以 在 X Window 下 完成 。 
2. 文件 系统 管理 及 安全 

1) 新 建文 件 夹 和 文件 

CD 在 终端 中 输入 下 面 的 命令 行 : 

[root@ localhost root]# mkdir myfolder 


将 在 root 目录 下 新 建 名 为 myfolder 的 文件 夹 。 
(2) 用 mkdir 命令 在 myfolder 文件 夹 下 建立 一 个 名 为 child 的 子 文件 夹 : 


[root localhost root]# mkdir myfolder/child 
(3) 用 cd 命令 进入 child 文件 夹 下 ,并 新 建 一 个 名 为 newfile 的 文件 : 


[root@ localhost root]# od myfolder/child 
[root8 localhost child]# touch newfile 


2) 编辑 文件 
CD. 用 vi 命令 编辑 newfile 文件 ,在 “插入 ”模式 下 输入 


This is a new file. 
(2) f Esc 键 返 回 到 命令 行 格式 ,输入 “:wq”, 保 存 退 出 。 
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3) 查看 文件 内 容 和 相关 信息 
(1) 在 终端 中 输入 下 面 的 命令 行 ,用 cat 命令 查看 文件 内 容 : 


[root@ localhost child]# cat newfile 
屏幕 上 显示 出 原来 输入 的 文件 内 容 : 
This is a newfile. 
(2) 用 11 命令 查看 相关 的 文件 信息 ,输入 如 下 命令 : 
[root@ localhost child]# 11 newfile 
系统 将 显示 如 下 信息 : 
-rwxr-xr-x 1 root root 19 12 月 13 10:58 newfile 


4) 设置 文件 的 所 属 用 户 .用 户 组 和 权限 
CD. 用 chmod 命令 将 newfile 文件 的 访问 权限 设置 为 所 属 用 户 有 读 写 和 执行 的 权限 ， 
用 户 组 有 读 写 的 权限 ,其 他 用 户 没 有 任何 权限 。 命 令 行 如 下 : 


[root@ localhost child] # chmod 750 newfile 
再 次 查看 并 记录 用 户 权 限 : 


[root@ localhost child]# ll newfile 
-rwxr- x--- 1 root root 1512 H 14 15:37 newfile 


(2) 将 用 户 lcyl 加 入 root 组 。 分 别 切换 到 leyl 和 mylist 用 户 ,尝试 读 写 操作 并 记录 实 
验 结果 。 步 又 如 下 。 
QD lcyl HP: 


root@ localhost child]# su lcyl 
Password: 
lcy1@ localhost child]$ cat newfile 
This is a file 
lcyl@ localhost child]$ vi newfile 


© mylist HF : 


root localhost child]# su mylist 
mylist@ localhost child]$ cat newfile 

cat: newfile: 权限 不 够 

G) 将 当前 目录 转 到 /home/mylist 下 ,并 用 su 命令 将 当前 用 户 改 为 mylist。 新 建文 件 
内 容 为 "This is a file” 的 名 为 file 的 文件 ,并 将 其 权限 设置 为 700, 即 所 属 用 户 有 完全 权限 ， 
其 他 用 户 则 没有 任何 权限 。 

(4) 分 别 以 root 用 户 和 ley] 用 户 访 问 并 编辑 该 文件 ,记录 结果 。 步 骤 如 下 。 

(D 对 于 root 用 户 ,不 受权 限 设置 的 限制 ,可 以 查看 并 编辑 该 文件 : 


[root@ localhost mylist]#vi file 
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[root@ localhost mylist]# cat file 
this is a file 
root is reading it 


@ 对 于 leyl 用 户 , 则 没有 任何 权限 : 


[root? localhost mylist]# su lcyl 
[1cy18 localhost mylist]$ cat file 
cat: file: 权限 不 够 


(5) 将 目录 切换 回 到 /root/myfolder/child 目录 ,输入 下 面 的 命令 行 ,用 chown 命令 将 
newfile 的 用 户 和 用 户 组 改 为 leyl: 


[root@ localhost child] chown lcyl:lcyl newfile 
再 次 用 11 命令 查看 文件 信息 ,出 现 如 下 的 结果 : 


[root@ localhost child]# ll newfile 
—IWXP- X- -— 1 lcyl lcyl 1912 H 13 10:58 newfile 


50 文件 的 打包 备份 和 压缩 
(1) 在 child 文件 夹 中 新 建文 件 newfile2。 
(2) 用 tar 命令 将 newfile 和 newfile2 打包 为 bag. tar, 命 令 行 如 下 : 


[root@ localhost child] tar -cvf bag.tar newfile newfile2 
用 11 命令 查看 当前 child 文件 夹 中 的 文件 列表 : 


[root@ localhost child]# 11 


总 用 量 36 

-rw-r--r-- 1 root root 20480 12H  1316:39 bag.tar 
— rwxr- Xr- X 1 lcyl lcyl 10240 12 月 1316:38 newfile 
-rw-r--r-- 1 root root 24 12H 1316:38 newfile2 


(3) 用 gzip 命令 将 bag. tar 压缩 ,再 次 查看 child 文件 夹 的 文件 列表 。 输 入 命令 行 及 显 
示 结 果 如 下 : 


[xoot@ localhost child]# gzip bag.tar 
[root? localhost child] # 11 


总 用 量 20 

-rw-r--r-- 1 root root 215 12H 1316:39 bag.tar.gz 
- rwxr- xr- x 1 lcyl loyi 10240 12H  1316:38 newfile 
-rw-r--r-- 1 root root 24 12H 1316:38 newfile2 


(4) 用 带 有 1 参数 的 gzip 命令 查看 压缩 比例 及 压缩 包 的 详细 信息 ,命令 行 及 结果 如 下 : 


[root@ localhost child]# gzip - 1 bag.tar.gz 
canpressed uncampressed ratio uncompressed name 
215 20480 99.1%  bag.tar 


(5) 用 mv 命令 将 压缩 备份 移动 到 child 的 父 文 件 夹 , 即 /root/myfolder: 


[xoot@ localhost child]#mv bag.tar.gz /root/myfolder 
* 298 * 


(6) 用 gunzip 命令 解压 缩 ,命令 行 及 结果 如 下 : 


[root@ localhost myfolder]# gunzip bag.tar.gz 
[root@ localhost myfolder]# 11 


总 用 量 24 
-rw-r--r-- 1 root root 20480 12H 1316:39 bag.tar 
drwxr- xr- x 2 root root 40906 12H 1316:42 child 


(7) 用 带 有 参数 xvf 的 tar 命令 将 文件 包 打 开 , 命 令 行 如 下 : 
[root@ localhost myfolder]# tar - xvf bag.tar 


6) 设置 应 用 于 目录 的 SGID 权限 位 

CD 切换 到 用 户 mylist, 并 转 人 /home/mylist。 

(2) 建立 文件 夹 test, 并 将 其 权限 设置 位 分 别 设置 为 2777, 即 带 有 gid 位 且 所 有 用 户 都 
有 读 写 和 执行 权限 。 命 令 行 如 下 : 
nylist@ localhost mylist]$ mkdir test 
nylist@ localhost mylist]$ chmod 2777 test 


(3) 进入 test 文件 夹 并 切换 到 root HIP! ,新 建 名 为 filel WICH: 
root@ localhost test]$ touch filel 
(4) 查看 filel 文件 的 相关 信息 ,注意 该 文件 的 所 属 组 。 


root@ localhost test]#11 filel 
-rw-rw--r-- 1 root mylist 012H 14 16:19 filel 


对 文件 夹 设置 SGID 权限 ,任何 在 该 目录 中 创建 的 文件 和 子 目 录 都 将 与 其 父 目 录 属 于 
同样 的 用 户 组 。 可 以 发 现 ,该 文件 的 所 属 组 为 mylist ,而 不 是 文件 所 属 用 户 root 所 在 的 组 。 
此 时 车 设置 权限 不 慎 , 则 可 能 使 部 分 用 户 的 权限 超过 预期 控制 。 如 此 例 中 ,mylist 组 的 用 户 
将 拥有 写 权限 。 

7) 减少 可 重复 命令 的 个 数 

(1) 查看 /home/lcy1/. bash history 文件 。 该 文件 保存 了 该 账户 近期 内 一 定数 量 的 使 
用 过 的 命令 ,内 容 如 下 : 


[root@ localhost myfolder]# cat /hame/lcyl/.bash history 
su root 

gpasswd - a shiyanshi mygroupl 

cat /hane/lcyl/myfile 

vi /hare/lcyl/myfile 


su root 


可 以 看 出 ,该 文件 显示 了 关于 用 户 的 大 量 信 息 , 例 如 其 组 管理 员 身 份 , 以 及 某 些 文件 的 
路 径 等 。 因 此 ,保留 太 多 使 用 过 的 命令 是 不 安全 的 。 
(2) 编辑 文件 /etc/profile ,将 文件 中 
HOSINAME- */bin/hostname* 
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HISISIZE- 1000 


部 分 中 的 数字 1000 改 为 5, 即 对 所 有 用 户 只 保留 当前 时 刻 之 前 曾经 使 用 过 的 5 个 命令 。 


(3) 重复 步骤 (1) ,比较 结果 。 

3. 查看 和 更 改 PAM 模块 设置 

D 查看 用 于 控制 口令 选择 和 口令 时 效 的 PAM 模块 设置 
(1) 查看 /etc/pam. d 文件 夹 中 的 文件 列表 : 


#1s /etc/pam.d 


(2) 打开 文件 /etc/pam. d/passwd, 查 看 与 用 户口 令 有 关 的 PAM RE: 


# cat. /etc/pam.d/passwd 

auth required pam stack.so service= system- auth 
account required pam stack.so service- system- auth 
password required pam stack.so service= system auth 


(3) 查看 文件 /etc/pam. d/system-auth ,结果 如 下 : 


# cat /etc/pam.d/system- auth 

显示 : 

# % PAM 1.0 

# This file is auto- generated. 

# User changes will be destroyed the next time authoonfig is run. 


auth required /Lib/security/$ ISA/pam env.so 

auth sufficient /Lib/security/$ ISA/pam unix.so likeauth nullok 

auth required /lib/security/S ISA/pam deny.so 

account required /Lib/security/$ ISA/pam unix.so 

password required /lib/security/S ISA/pam cracklib.so retry= 3 type= 

password sufficient /lib/security/S ISA/pam unix.so nullok use authtok 
md5 shadow 

password required /Lib/security/$ ISA/pam deny.so 

session required /lib/security/$ ISA/pam_limits.so 

session required /lib/security/$ ISA/pam unix.so 


结合 passwd 文件 ,将 系统 口令 部 分 的 pam 设置 恢复 为 原始 形式 ,结果 如 下 : 


auth required /lib/security/$ ISA/pam env.so 

auth sufficient /lib/security/$ ISA/pam unix.so likeauth nullok 

auth reguired /lib/security/$ ISA/pam deny.so 

account required /lib/security/$ ISA/pam unix.so 

password reguired /lib/security/S ISA/pam cracklib.so retry-3 type- 

password sufficient /lib/security/S ISA/pam unix.so nullok use authtok 
md5 shadow 

password reguired /lib/security/$ ISA/pam deny.so 
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(4) 结合 实验 原理 部 分 ,解释 口令 部 分 的 PAM 设置 。 

1E EMA PAM 设置 文件 的 实例 中 ，pam_unix. so 分 别 被 指定 为 auth, password 和 
account 三 种 模块 。 其 中 ,auth 模块 表示 pam_unix 模块 将 被 用 来 进行 auth 类 型 的 身份 验 
证 , 即 通 过 提示 用 户 提 供 口令 对 用 户 进 行 身份 认证 , 它 后 面 的 nullok 参数 表示 也 允许 没有 
口令 的 用 户 ,use_authtok 参数 将 使 模块 按照 从 前 面 的 模块 中 接受 的 口令 重新 设置 新 口令 。 
Password 模块 表示 被 用 来 更 新 口令 ,后 面 的 nullok 参数 表示 允许 一 个 空 口令 的 修改 ,md5 
参数 表示 使 用 md5 作为 口令 散 列 算法 ,shadovw 表示 使 用 阴影 文件 。Account 模块 表示 被 
用 来 验证 用 户 的 账户 信息 。 

此 外 ,可 以 看 出 模块 pam. env. so 在 此 处 用 于 auth. 即 身份 认证 模块 。pam_cracklib. so 
只 用 作 password 类 型 模块 ,用 于 检查 一 个 口令 的 强度 和 长 度 ,可 在 这 里 设置 密码 的 最 小 长 
度 (minlen 参数 ) 以 及 最 多 的 失败 登录 次 数 (retry 参数 ) 。 

2) 限制 su 命令 的 使 用 用 户 

CD 输入 下 面 的 命令 行 ,用 cat 命令 查看 系统 中 是 否 存在 名 为 wheel 的 用 户 组 。 如 不 存 
在 , 则 新 建 该 组 。 

[root localhost root]# cat /etc/group 

(2) 新 建 用 户 ley] ,并 将 其 加 入 wheel 组 中 ,再 次 查看 组 信息 ,终端 中 显示 

wheel :x:10:root, lcy1 

(3) 输入 下 面 的 命令 行 , 用 vi 编辑 su 文件 (/etc/pam. d/su) : 

[root@ localhost root]# vi /etc/pam.d/su 

在 文件 的 头 部 添加 如 下 的 命令 行 ,然后 保存 退出 : 

auth required /lib/security/$ ISA/pam wheel.so group= wheel 

(4) 输入 下 面 的 命令 行 更 改 文件 的 权限 ,限制 只 有 wheel 用 户 组 的 成 员 可 以 使 用 su 


[root@ localhost root]# chown root :wheel /bin/su 
[root@ localhost root]# chmod 4750 /bin/su 


(5) 用 su 命令 在 wheel 用 户 组 成 员 root \lcyl 以 及 普通 用 户 mylist 之 间 相 互 切换 ,可 
以 看 到 如 下 mylist 用 户 被 限制 使 用 su 命令 的 结果 。 


[root8 localhost root]# su lcyl 
[1cy18 localhost root]$ su mylist 
Password: 

[mylist@ localhost root]$ su root 
bash: /bin/su: 权限 不 够 


4. 检查 syslog 日 志 设 置 以 及 日 志文 件 
CD 打开 /etc/syslog. conf 文件 ,查看 syslog 日 志 的 相关 设置 


# cat /etc/syslog.conf 
v S30 


g all kernel messages to the console. 

# Logging much else clutters up the screen. 

# kem. * 

# Log anything (except mail) of level info or higher. 
# Don't log private authentication messages! 

* .info;mail.none;news.none;authpriv.none;cron.none 
# The authpriv file has restricted access. 

authpriv. * 


# Log all the mail messages in one place. 
mail.* 


# Log cron stuff 

cron. * 

# Everybody gets emergency messages 
* .emerg 


/dev/console 


/var/log/messages 


/var/log/secure 


/var/log/maillog 


# Save news errors of level crit and higher in a special file. 


uucp, news .crit 


# Save boot messages also to boot.log 


local7. * 

+ 

# IN 

# 

news.= crit 
Dews .= err 


/var/log/spooler 


/var/log/boot.log 


/var/log/news/news .crit 


/var/log/news/news .err 


news.notice /var/log/news/news notice 


(2) 仔细 阅读 并 解释 设置 的 意义 , 找 出 与 电子 邮件 ,用户 身份 认证 以 及 系统 不 可 用 相关 
的 操作 ,以 及 大 部 分 记录 消息 存储 的 文件 。 

(3) 打开 /var/log/messages 文件 ,查看 系统 的 相关 记录 消息 , 找 出 关于 用 户 身份 认证 
的 记录 。 

(4) 新 建 用 户 user, 并 以 该 用 户 名 重复 3 次 失败 的 系统 登录 。 

(5) 再 次 查看 /var/log/message 文件 ,查看 关于 失败 登录 的 记录 消息 ,如 下 所 示 : 


May 26 16:19:23 localhost 5 月 26 16:19:23 gdm (pam_unix) [3635]: authentication failure; 
euid- 0 tty :0 ruser- għ rhost= localhost 
3635] : 无 法 认证 用 户 


3635]: authentication failure; 


ogname- uid- 0 user- user 
May 26 16:19:26 localhost 5 月 26 16:19:26 ge binary 
May 26 16:19:29 localhost 5 月 26 16:19:29 gdm(pam unix) 
ogname= uid- 0 euid- 0 tty- :0 ruser- gdm rhost- localhost  user- user 
3635] : 无 法 认证 用 户 


3635]: authentication failure; 


May 26 16:19:32 localhost 5 月 26 16:19:32 gdm- binary 


May 26 16:19:34 localhost 5 月 26 16:19:34 gdm(pam unix) 


user- user 


ogname= uid- 0 euid- 0 tty- :0 ruser- gdm rhost- localhost 
3635] : 无 法 认证 用 户 


May 26 16:19:36 ] 
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ocalhost 5 月 26 16:19:36 gdm- binary 


。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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第 10 章 口令 破解 和 安全 加 密 电 邮 实 验 


10.1 口令 破解 实验 


实验 器 材 
LOphtCrack 5.02(LC5) 密 码 破解 工具 和 John the Ripper 密码 破解 工具 ,1 套 。 
PC,14. 
实验 任务 


了 解 账 号 口令 的 安全 性 ,掌握 安全 口令 的 设置 原则 ,以 保护 账号 口令 的 安全 。 
实验 环境 


硬件 : 一 台 安 装 Windows 2000/XP/Linux(Red Hat) 系 统 的 计算 机 。 
软件 : LOphtCrack5. 02 密码 破解 工具 和 John the Ripper 密码 破解 工具 。 


实验 步 又 


1. 使 用 LOphtCrack 5 破解 口令 

事先 在 主机 内 建立 用 户 名 test, 口 令 分 别 设置 为 空 ,123123、security、security123 进行 
测试 。 

启动 LC5, 弹 出 LCS 的 主 界面 ,如 图 10.1.1 ras. 
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打开 文件 菜单 ,选择 LCS 向 导 , 如 图 10.1.2 所 示 。 


© Lc5 容 笑 汉化 版 0:40940064 http://978229.126.com - [无 标题 1] DER 
ire ENEE 
新 建 会 话 (N)… | eA 
ENO)... 2 Felg» "age 
关闭 对 话 (O).… | 
REG) Chr+5 LM 认证 口令 | 口令 
BRAC 
subo 
ARTE 


SRE)... 


图 1012 开始 执行 LC5 向 导 破 解 功能 


接着 会 弹出 LC 向 导 界 面 , 如 图 10. 1. 3 所 示 。 


za 此 向 导 将 帮助 您 确定 您 要 破解 的 文件 来 自 
ERU 让 你 选择 通过 何 种 方式 破解 您 要 破解 的 密 
BEF 您 将 选择 以 何 种 方式 来 报告 破解 结果 。 


第 四 步 LC5 将 根据 您 的 设 定 进行 密码 破解 ， 当 破解 
密码 完成 后 程序 会 通知 您。 


按 下 一 步 雏 续 此 向 导 。 
M 下 次 启动 不 在 显示 此 向 导 [D】 


图 1013 Lome = 


单 击 Next 按钮 ,弹出 如 图 10. 1.4 所 示 的 对 话 框 。 
如 果 要 破解 本 地 计算 机 的 口令 ,并 且 具 有 管理 员 权 限 ,那么 选择 “从 本 地 机 器 导 和 人 ”; 如 
果 已 经 侵入 远程 的 一 台 主 机 ,并 且 有 管理 员 权 限 ,那么 可 以 选择 “从 远程 电脑 导入 ”, 这 样 就 
可 以 破解 远程 主机 的 SAM( 这 种 方法 对 使 用 syskey 保护 的 计算 机 无 效 ) ;如果 获得 了 一 台 
* 305 。 


C 从 本 地 机 器 导入 [U 
从 本 地 电脑 导入 ， 但 需要 管理 员 权限 。 


C 从 远程 电脑 导入 [R] 


在 您 电脑 域 的 远程 电脑 导入 加 密 文 件 REE 
理 员 权限 。 


C 从 NT 40 紧 急 修复 盘 导 入 [E) 


从 Windows NT 4.0B 人 上 操作 系统 的 紧急 修复 盘 
PEAR sam sam MEOS. 


C 从 本 地 电脑 嗅 探 导 入 [5) 
ARF See SH RAT 


限 才 能 执行 
LC5 RF RMFSI ANTS LORIE 
陆 、 文 件 或 打印 共享 等 口令 


« Back Cancel 


1014 选择 导入 加 密 口令 的 方法 


主机 的 紧急 修复 盘 , 那 么 可 以 破解 紧急 修复 盘 中 的 SAM; LCS 还 提供 在 网 络 中 探测 加 密 口 
令 的 选项 ,可 以 在 一 台 计 算 机 向 另外 一 台 计 算 机 通过 网 络 进行 认证 时 的 挑战 /应 答 过 程 中 截 
获 加 密 口令 散 列 ,这 也 要 求 和 远程 计算 机 已 经 建立 起 连接 。 本 实验 破解 本 地 计算 机 的 口令 ， 
所 以 选择 “从 本 地 机 器 导 和 人 ”, 然 后 单 击 Next 按钮 ,弹出 如 图 10. 1. 5 所 示 的 对 话 框 。 


选择 破解 方法 
RM Bese Auditing Method 
ESD 


C 快速 口令 破解 (0) 
长 羽 把 字典 中 的 每 个 单词 和 口令 进行 简单 对 照 
尝试 破解 。 


C 普通 口令 破解 [C] 


使 用 字典 中 的 单词 进行 普通 的 破解 ,并 把 字典 
中 的 单词 进行 修正 破解 。 


C 复杂 口令 破解 [5] 


使 用 字典 中 的 单词 进行 普通 的 破解 ,并 把 字典 
ne 并 且 执行 暴力 破解 ， 
和 典 中 的 宇 、 数 字 、 符 号 进行 尽 可 能 的 组 


C 自 定义 凯 


<Back Care 


1015 选择 破解 方法 


由 于 设置 的 是 空 口令 ,所 以 选择 快速 口令 破解 即 可 以 破解 口令 ,再 单 击 Next 按钮 , 弹 
出 如 图 10. 1.6 所 示 的 对 话 框 。 
306 * 


选择 报告 风格 


ARAM Pick Reporting Style 


jv 当 破 和解 时 显示 口令 (P] 


在 大 部 分 时 间 里 ， 您 想 要 知道 破解 到 的 口 
什么 ， 但 是 在 特定 的 情况 下 ， Ee 
的 口令 ， 是 否 显示 可 由 你 决定 : 


厂 Samos eer) 


选中 此 项 ,将 显示 操作 系统 的 加 密 口 令 » 这 些 
值 可 能 对 一 些 用 户 的 其 它 口令 有 关 。 


N 显示 完成 破解 每 个 口令 的 剩余 时 间 [T] 


选中 此 项 , 将 中 显示 框 中 增加 一 个 项 目 ,显示 
完成 破解 每 个 口令 的 剩余 时 间 。 


N 显示 破解 方法 
显示 破解 此 加 密 文 件 所 用 的 破解 方法 ， 有 效 地 
检测 当前 用 户 的 弱 口令 非常 有 效 。 


jv 当 破 解 完成 时 显示 信息 [Y) 


< Back Cancel 


1016 选择 报告 风格 


选择 默认 的 选项 即 可 ,接着 单 击 Next 按钮 ,弹出 如 图 10. 1.7 所 示 的 对 话 村 


ml 


egin Auditing 


LC5 现 在 开始 准备 破解 密码 ,请 确认 以 下 的 信息 ， 
如 果 发 现 有 误 ， 按 返回 修改 设置 直到 | 正确 为 止 。 


Sea ST 
JS METER 
SEM RSE ES 
DESERT S RIA 


Iv. 保存 这 些 设置 到 会 话 默 认 
完成 -开始 破解 


图 1017 开始 破解 


单 击 Finish 按钮 ,软件 就 开始 破解 账号 口令 了 ,破解 结果 如 图 10. 1. 8 所 示 。 

可 以 看 到 ,用 户 test 的 口令 为 空 ,软件 很 快 就 破解 了 出 来 。 

把 test 用 户 的 口令 改 为 123123, 再 次 测试 ,由 于 口令 不 是 太 复杂 ,还 是 选择 快速 口令 破 
解 ,破解 结果 如 图 10. 1.9 所 示 。 


s 30m s 
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1019 口令 为 2B 志 的 破解 结果 


可 以 看 到 test 用 户 的 口令 也 被 很 快 地 破解 出 来 。 
把 主机 口令 设置 得 复杂 一 些 , 不 选用 数字 ,选择 某 些 英文 单词 ,比如 security, 再 次 测 
试 , 由 于 口令 复杂 了 一 些 .破解 方法 选 先 择 “普通 口令 破解 ”, 测 试 结果 如 图 10. 1. 10 所 示 。 
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Administrator 


HelpAssistant 


A 10110 ASA uiy 的 破解 结果 


可 以 看 到 ,口令 security 也 被 破解 出 来 ,只 是 破解 时 间 稍 微 有 点 长 而 已 。 

把 口令 设置 得 更 加 复杂 一 些 , 改 为 security123 ,选择 “普通 口令 破解 ,测试 结果 如 
图 10.1. 11 所 示 。 

可 以 看 到 ,普通 口令 破解 并 没有 完全 破解 成 功 ,口令 的 最 后 几 were 
该 选择 复杂 口令 破解 方法 ,因为 这 种 方法 可 以 把 字母 和 数字 进行 尽 可 能 地 组 合 , 破 解 结果 如 
图 10.1. 12 所 示 。 


“B08: % 
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Administrator 


HelpAssistant 


字典 1of1 [E:\hack\SeFe\LOphtCrack\words-english. dic] 
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(8 Lc5 容 笑 汉化 版 QQ:40940064 http://978229.126.com - [无 标题 10] 
big EEV) 会 话 (5) 任务 (CO) SER) SERO) 


GLOCEr Ss russe 


GZT NREN 
域 
Administrator 


HelpAssistant 


1012 复杂 口令 破解 


可 以 看 到 ,复杂 口令 破解 速度 虽 慢 ,但 把 比较 复杂 的 口 
令 security123 破解 出 来 了 。 其 实 还 可 以 设置 更 加 复杂 
的 口令 ,采用 更 加 复杂 的 自 定义 口令 破解 模式 ,设置 界 
面 如 图 10. 1. 13 所 示 。 

其 中 ,如 果 选 择 “ 字 上 典 攻 击 ”, 可 以 选择 字典 列表 中 
的 字典 文件 进行 破解 ,LC5 本 身 带 有 简单 的 字典 文件 ， 
也 可 以 自己 创建 或 者 利用 字典 工具 生成 字典 文件 ;* 混 
合 字 典 ? 破 解 口令 是 把 单词 ,数字 或 符号 进行 混合 组 合 
破解 六 预定 散 列 ?破解 是 利用 预先 生成 的 口令 散 列 值 
和 SAM 中 的 散 列 值 进行 匹配 ,这 种 方法 由 于 不 用 在 线 
计算 Hash 而 速度 很 快 ;利用 “暴力 破解 ”中 的 字符 设置 
选项 ,可 以 设置 为 “字母 十 数字 ”“ 字 母 十 数字 十 普通 
符号 ”"“ 字 母 十 数字 十 全 部 符号 ,这 样 从 理论 上 就 可 
以 遍历 所 有 字符 组 合 而 将 口令 破解 出 来 了 ,只 是 破解 
时 间 可 能 很 长 。 

2. 掌握 安全 的 口令 设置 策略 

暴力 破解 理论 上 可 以 破解 任何 口令 ,但 如 果 口 令 
过 于 复杂 ,暴力 破解 需要 的 时 间 会 很 长 (比如 几 天 ) ,在 


Le SEAR 
Iv 使 用 “字典 攻击 ” 破解 口令 
UB. 22 ADS TABULIS RON 


fiat bat resin aen 点 这 


字典 列表 


厅 使 用 “混合 字典 " 破解 口令 
温 合 攻击 就 是 对 字 册 中 的 每 个 单词 数字 
SEES. MEE 


Iv EA “MERA” 


m. NONAS 


中 查找 相同 字符 | 


此 破解 方法 只 对 Windows LI 认证 口令 有 效 . 


散 列 文件 列表 | 


Iv 使 用 “暴力 破解 ”破解 口令 


a NE 


RAA, Bre. 口令 都 能 破解 ) (ENE 
度 也 最 慢 :〈 
字符 设置 : 


图 10113 


这 段 较 长 的 时 间 内 ,增加 了 用 户 发 现 人 侵 和 破解 行为 的 机 会 ,以 采取 某 种 措施 来 阻止 破解 ， 
所 以 口令 的 复杂 度 越 大 越 好 。 一 般 设 置 口令 要 遵循 以 下 几 个 原则 : 

(1) 口令 长 度 不 小 于 8 个 字符 。 

(2) 包含 大 写 和 小 写 的 英文 字母 .数字 和 特殊 符号 的 组 合 。 

(3) 不 包含 姓名 .用 户 名 .单词 日 期 以 及 这 几 项 的 组 合 。 

(4) 定期 修改 口令 ,并 且 对 原 有 口令 做 较 大 的 变动 

例如 ,974a3K%n_4$ Frl# 就 是 一 个 复杂 度 很 高 的 口令 ,破解 软件 要 花费 很 长 的 时 间 
才能 破解 。 

3. 密码 破解 的 防护 

syskey 是 Windows 2000 和 Windows XP 中 增加 的 一 项 功能 , 它 可 以 使 用 启动 密 钥 来 
保护 SAM 中 的 账号 信息 。 默 认 情 况 下 ,启动 密 钥 是 一 个 随机 生成 的 密 钥 ,存储 在 本 地 计算 
机 上 。 这 个 启动 密 钥 在 计算 机 启动 后 必须 正确 输入 才能 登录 系统 。 通 过 在 命令 行 界面 下 输 
入 命令 syskey, 回 车 后 即 会 启动 syskey 的 设置 界面 ,如 图 10. 1. 14 所 示 。 

通过 syskey 保护 ,攻击 者 即使 通过 另外 一 个 操作 系统 挂 上 被 攻击 者 的 硬盘 , 偷 走 被 攻 
击 者 计算 机 上 的 一 个 SAM 的 副本 ,这 份 SAM 副本 对 于 攻击 者 也 是 没有 意义 的 ,因为 
syskey 提供 了 非常 好 的 安全 保护 。 当 然 , 要 防止 攻击 者 进入 系统 后 对 本 地 计算 机 启动 密 钥 
的 搜索 ,这 可 以 通过 在 配置 syskey 时 将 启动 密 钥 存储 在 软盘 上 实现 启动 密 钥 与 本 地 计算 机 
的 分 隔 。 

另外 ,还 可 以 通过 选择 安全 的 身份 验证 协议 ,防止 嗅 探 器 探测 到 网 络 中 传输 的 密码 。 在 
Windows 2000 和 Windows XP 中 ,默认 的 身份 认证 协议 是 Kerberos v5, 它 采用 了 复杂 的 加 
密 方 式 来 防止 未 经 授权 的 用 户 截 获 网 络 中 传输 的 密码 信息 。 但 是 ,如 果 计 算 机 没有 加 入 到 
域 中 ,它们 采用 的 身份 认证 协议 是 NTLM。NTLM 采用 询问 应 答 的 方式 进行 身份 验证 , 它 
有 3 种 变 体 : LMCLAN Manage ,NTLMv1 和 NTLMv2。 其 中 NTLMv2 是 最 安全 的 身 
份 验 证 方式 。 为 了 加 强 网 络 安全 性 ,需要 关闭 LM 和 NTLMvl 这 两 种 相对 不 安全 的 方式 。 

可 以 通过 “控制 面板 ”>“ 管 理工 具 ” 一 “本 地 安全 策略 ”, 在 本 地 安全 策略 窗口 中 打开 安全 
设置 \ 本 地 策略 \ 安 全 选项 ,在 右 侧 的 窗口 中 ,双击 打开 “网 络 安全 : LAN Manager 身份 验证 
级 别 属性 ”对 话 框 ,在 列表 中 选择 “ 仅 发 送 NTLMv2 响应 \ 拒 绝 LM&.NTMIL”, 如 图 10. 1. 15 
所 示 。 


网 络 安 全 : LAN Manager 身份 验证 级 别 属性 区 区] 


保证 Windows XP 帐户 数据 库 的 安全 


这 个 工具 可 使 您 号 置 帐户 数据 库 以 便 自用 辣 
Es Sens, teint PREPARE. 


SFIS NTLMV2 jE LM à NTLM 


一 旦 启用 这 个 加 窗 就 不 能 禁用 。 


取消 更 新 中 


图 10114 syskey 配 置 界面 图 100115 身份 认证 协议 的 选择 界面 
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在 Windows 系统 里 面 有 很 多 措施 可 以 用 来 增强 口令 的 安全 ,详细 步骤 和 过 程 请 参考 
9.1 节 Windows 操作 系统 安全 实验 中 的 账户 和 口令 安全 设置 。 


10.2 安全 加 密 电 邮 实 验 


实验 器 材 


PGP 电子 加 密 邮 件 、.Foxmail(Outlook) 邮 件 客户 端 ,1 套 。 
PC;1 4. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 安全 加 密 电邮 技术 的 有 关内 容 。 
(2) 熟悉 PGP 软件 的 使 用 方法 。 

(3) 熟悉 Outlook 软件 的 使 用 方法 。 

(4) 熟悉 实验 过 程 和 基本 操作 流程 。 

(5) 做 好 预习 报告 。 


实验 任务 

Tf PGP 加 密 的 原理 ,掌握 PGP 软件 的 使 用 方法 ,对 加 密 产 生 直 观 认 识 ; 了 人 解 安全 电 
子 邮件 的 使 用 方法 ,加 深 对 数字 证 书 及 其 在 安全 领域 中 的 广泛 应 用 的 理解 。 

实验 环境 

WE. 安装 Windows 2000 Server 的 计算 机 、 邮 件 服务 器 ( 公 网 ) 。 

软件 : PGP 电子 加 密 邮 件 、.Foxmail(Outlook) 邮 件 客户 端 等 。 

预备 知识 

(OD 深入 理解 PGP 的 工作 过 程 ( 只 认证 ,只 加 密 、 认 证 和 加 密 ) 以 及 与 加 密 相 关 的 操作 。 

(2) 熟练 掌握 Outlook 软件 收发 邮件 的 操作 。 

实验 步骤 


1. PGP 的 安装 以 及 创建 密 钥 对 (版 本 PGPfreeware_6. 5.3) 

运行 安装 程序 PGPfreeware 6. 5. 3. exe ,前 面 的 安装 界面 和 大 部 分 的 Windows 程序 相 
同 。 根 据 提 示 单 击 Next 按钮 即 可 。 在 安装 过 程 中 ,系统 会 询问 是 否 已 经 拥有 “ 密 钥 对 ”。 
图 10.2. 1 至 图 10.2. 6 为 安装 的 过 程 。 

PGP 的 安全 性 依赖 于 用 户 的 私 钥 是 否 安全 ,如 果 用 户 的 私 钥 不 小 心 泄露 出 去 ,PGP 也 
就 毫 无 安全 性 可 言 了 。 私 钥 越 长 ,PGP 的 安全 性 也 就 越 来 越 高 。 因 此 一 般 人 是 不 可 能 去 记 
住 它 的 。Passphrase 就 是 用 来 保护 “ 密 钥 ”的 密码 。 当 PGP 需要 使 用 用 户 的 私 钥 时 ,会 提示 
用 户 输 入 Passphrase。 


e Sy ss 
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图 1021 进入 程序 环境 


Key Generation Wizard 
What name and email address should be associated with this key 
pair? 


By listing your name and email address here, you let your 
correspondents know that the key they are using belongs to you. 


Eull name: 


huangiie 


Email address: 
[huangie_2000@1 63.com 


win | wn 
图 1022 输入 名 称 和 邮件 地 址 


Key Generation Wizard 


What type of key would you like to generate? If you don't know, 
it's recommended that you generate  Diffie-Hellman/DSS key 
pair. 


RSA is the “old-style PGP key. Most new users of PGP will be 
expecting a Diffie-Hellman/DSS key. 


If you'd like more information on the differences between the two 
key types, press the Help button, below. 


r Key Pair Type 


somo] w |_| 


图 1023 选择 密 钥 产 生 方式 


Key Generation Wizard 


How large a key pair do you wish to generate? As a rule, larger 
keys are more secure, but slower. 


For most applications, 1024 - 2048 bit keys are quite sufficient. 


r Key Pair Size 


C 1024 bits 
C 1536 bits (1536 Diffie Hellman/1024 DSS) 


© 3072 bits (3072 Diffie Hellman/1024 DSS) 
C Custom (1024 - 4096 bits) 


w | æ] 


图 1024 选择 密 钥 对 的 长 度 


Key Generation Wizard 


You can set your key pair to automatically expire within a certain 
amount of time. 


When your key pair expires, you will no longer be able to use it for 
encrypting or signing. However, it will still decrypt and verity. 


Once you generate your key pair, you will not be able to change 
its expiration setting. 


m Key Expiration — —— — 
C Key pair never expires 


(* Key pairexpires on [2008. 4-26 v 


[TB m | ww 


图 1025 选择 密 钥 对 的 有 效 期 限 


Key Generation 


xj 
Your private key will be protected by a passphrase. It is important 


that you do not write this passphrase down. 


‘Your passphrase should be at least 8 characters long and should 
contain non-alphabetic characters. 


Passphrase: F Hide Typing 


Passphrase Quality : 


Confirmation: 


< 上 一 步 @) 取消 帮助 


图 1026 输入 Passphrase 


Sal) 


Passphrase 非常 重要 ,建议 大 家 的 Passphrase 尽量 长 些 , 并 且 包 含 非 字母 元 素 , 以免 被 
黑客 用 穷 举 法 破解 。 

根据 提示 单 击 “下 一 步 ? 按 钮 , 密 钥 对 就 创建 完成 了 。 新 的 密 钥 对 会 出 现在 PGPkeys 
中 ,如 图 10. 2.7 所 示 。 

如 果 由 于 某 些 意外 原因 ,比如 硬盘 损害 或 者 系统 崩溃 ,那么 ,所 有 加 密 过 的 文件 和 数据 
就 再 也 无 法 找 回来 了 。PGP 推荐 使 用 者 备份 自己 的 密 钥 ,以 防 意外 ,如 图 10. 2. 8 所 示 。 


44 PGPkeys 
File Edit View Keys Server Groups Help 


9;|Xx d qo v S ca 


Description ^ 
Co 2048/1024 DH/DSS publi 
[—— 4096/1024  DH/DSS publi |- 


oom 5 2048/1024 DH/DSS publi — 
gj Ov Damon Gallaty dac. com? Co) 3072/1024  DH/DSS publi The new key that has been generated during this session is 
e <huangjie 200081. ( 2048/ 1024 /DSS key p very important. Losing your keyring file in a disk crash or 
M ‘stadia satan accidental file deletion without having a backup will render the 
日 加 perm Chuangjie 20008163... ser key and all data encrypted with that key useless. 
A, huangjie huangjie 20008... d i Í 
困 @ Jason Bobier <jason@pep. com> [——— 2059/1024 DH/DSS publi t is strongy recommen eel that un backup your keyring files 
mO Katherine Massucci Pettit Cop... [——— 2048/1024 DH/DSS publi gy aa meum jon jour e's: 
Cr i mm jf E 
L Don't Save Cancel 
1 key (s) selected ] ped Boum 
1027 密 钥 对 创建 完毕 1028 备份 密 钥 
2. 发 布 公 角 


别人 要 发 送 加 密 信件 给 你 ， 必须 首先 要 导 到 你 的 公开 密 钥 (简称 公 钥 ) ,然后 用 此 公 钥 来 
加 密 , 所 以 要 发 布 自己 的 公 钥 ,知道 你 的 公 钥 的 人 越 多 ,能 够 给 你 发 送 加 密 信件 的 人 也 就 
越 多 。 

公 钥 的 发 布 方式 一 般 有 两 种 ,直接 将 公 钥 交 给 朋友 ,或 者 通过 一 个 公共 的 公 钥 管理 机 构 
发 布 公 钥 ,所 有 想 要 给 你 发 信 的 人 都 可 以 从 这 个 公 钥 管理 机 构 下 载 你 的 公 钥 

如 果 采 用 第 一 种 方法 发 布 公 钥 , 首 先 必须 制造 公 \ 角 文件 以 便利 用 网 络 传播 给 其 他 人 ， 制 
造 方法 是 在 PGPkeys 中 选择 菜单 Key>Exporte ,导出 一 个 公 钥 文件 ,例如 yourname. asc, 
这 个 . asc 文件 就 是 公 钥 ,只 要 将 它 安全 地 交 给 朋友 就 可 以 了 。 

发 布 公 \ 钥 最 好 的 方式 就 是 上 载 到 Key Server, PGP 内 置 了 两 个 比较 著名 的 Key 
Server, 可 以 任 选 一 个 。 在 PGPkeys 中 选择 公 钥 ,再 选择 菜单 Server Send to 即 可 ,如 
图 10.2.9 所 示 。 

3. 获取 公 钥 

获取 其 他 人 的 公 钥 也 有 两 种 方法 : 直接 索取 或 者 在 Key Server 上 搜索 得 到 。 

先 说 第 一 种 方法 , 当 得 到 别人 的 公 钥 文件 时 ,选择 菜单 Key Import 将 其 导入 即 可 。 

如 果 对 方 的 公 钥 发 布 在 Key Server 上 ,那么 , 公 钥 的 获得 更 加 方便 。PGP 的 Key Server 
提供 了 一 个 非常 好 用 的 公 钥 搜索 引擎 。 选 择 菜 单 Server— Search, ,输入 需要 的 公 钥 名 称 即 
可 ,如 图 10. 2. 10 所 示 。 

在 搜索 的 结果 中 选择 需要 的 公 钥 , 右 击 , 在 快捷 菜单 中 选择 Export 命令 ,可 以 导出 普通 

的 公 钥 文件 ,然后 再 导入 到 PGPkeys 中 即 可 ,如 图 10. 2. 11 所 示 。 

导出 所 需要 的 公 钥 后 ,双击 打开 该 公 钥 , 出 现 如 图 10. 2. 12 所 示 的 对 话 框 ,再 单 击 

Import 按钮 将 公 钥 导 和 人 到 自己 PGPkeys 的 列表 中 。 
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¿1 PGPkeys 
File Edit View Keys Groups Help 


Zx c qa 


Search Ctrl+F 


Domain Server 


Update CtrltG 


pj Ara Capi Sarani Retrieve Certificate 
国名 Bill Blanke jb Smere 
mO Chanda Groom 《cha Update iias 
mO Danon Gallaty 《dgalT com 
E Oy huangjie_2005 <huangjiebupt@16. . 
mO huangjiebupt <huangjiebupt@163 


日 回 huangjie <husngjie 20008163 
A, buangjie huangjie 20008. 

Jason Bobier jasonüpzp. com> 
Katherine Massucci Pettit Qmp.. 
Marc Dyksterhouse <marcd@pgp. com> 
Mark J. McArdle <markm@pzp. com> 
Michael K. Jones <mjones@nai. com> 
Myles Monroe <mmonroe@nai. com> 
Meere à Associates PGP Softwar. 


2048/1024 
3072/1024 
2048/1024 
2048/1024 


2059/1024 
2048/1024 

] 2048/1024 
=) 2048/1024 
] 2048/1024 
2048/1024 


ldap ties tone vee Pep. com 


DH/DSS public key 
DH/DSS public key 
DH/DSS key pair 

DH/DSS public key 


User ID D 
DSS exportable signatu 
DH/DSS public key 
DH/DSS public key 
DH/DSS public key 

public key 

public key 

public key 

public key 


1 key(s) selected | 


图 1029 将 公 钥 上 载 到 Key Server 


¿1 PGPkeys Search Window 


Search for keys on |http://pgpkeys.mit.edu:11371 v| where 
User ID v | | contains v | [Damon Gallaty Clear Search 


More Choices 


Keys 


Validity Size 


=a 
Help 


Descrip A 


m Damon Gallaty <deal@pep. com> 
mO Damon Gallaty <dgal@pep. com> 
mO Damon Gallaty <dgal@pep. com> 
mO Damon Gallaty <dgal@pep. com> 


c— 1024 
cc 3072 
co 2048 
Cc 2048 

| 


RSA put 

/1024  DW/DSS — 
/1024  DM/DSS — 
/1024  DW/DSS ig 


> 


[Found 5 key(s) matching search criteria. 


10210 通过 Key Saver 获得 公 钥 


¿q PGPkeys Search Window 


Search for keys on |http://pgpkeys.mit.edu11371 v| where 


FN 


[Useri z] [contains z] [damon gallaty 
More Choices | E 


Clear Search 
Help 


eux ES 


Revoked RSA public key 
RSA public key 


aR Damon Gallaty Cgal@cad gatech. 
mO Damon Gallaty <dgal@pep. com> 
Hm Damon Gallaty, 
mO Damon Gallaty| 
mO Damon Gallaty| 


Send to 


Key Properties 


public key 


2045/1024 DH/DSS public key 
2048/1024 DH/DSS public key 


ef] 1 keys) selected 


图 10211 


导出 公 钥 


.3 Select key(s) 


Select the key[s) you would like to import to your keyring : 


Ian Gallaty <dgal@pep. com 


"| m | > 


SelectAll | Unselect All Cancel 


图 0212 SABA 


4. 文件 加 密 解密 

假设 要 加 密 一 个 Word 文档 encryption test. doc。 在 该 文件 上 右 击 ,选择 PGP 后 弹出 
一 个 窗口 ,共有 Encryp,Sign, Encrypt and sign 和 Wipe 四 个 选项 ,其 中 ,Encryp 表示 加 密 ， 
Sign 是 签名 ,Encrypt and sign 是 加 密 和 签名 的 组 合 , Wipe 是 将 文件 删除 。 

选择 Encryp, 弹 出 密 钥 选择 对 话 框 ,如 图 10. 2. 13 所 示 。 


m: PGPshell — Key Selection Dialog 


Drag users from this list to the Recipients list. |Val... | Size | 


[z]Ann Campi <acampi@nai. com> 2048/1024 
[-]Bill Blanke <«jb@pep. com> 4096/1024 
[=]Chanda Groom <chands_groon@nai. con? 2048/1024 
(8163. con? m 2048/1 A 
feliuangjie dhuanejie 20000183. com> —— Qj 2048/1024 
[z]Jason Bobier jasonüpgp. com> 2059/1024 
[z]Jason Bobier <jbobier@prismatix. com> 2059/1024 
[z]Jason Bobier <jbobier@privnet. com> 2059/1024 
[z]Jason Bobier <k0S9509@hobbes. kzoo. edu 2059/1024 


9 
9 
9 

9. 
e 
@ 
9 
9 
[ 


Recipients 
[z]huangjie 2005 <huangjiebupt@163. com> @ = 2098/1024 


C— Domen | Hep | 


[^ Wipe Original 
[^ Conventional Encryption 
厂 Self Decrypting Archive 


102138 密 钥 的 选择 对 话 框 


Recipients 表示 收 件 人 ,也 就 是 我 们 选择 的 加 密 公 钥 。 加 密 后 的 文件 只 有 收 件 人 使 用 
其 私 钥 才 能 打开 ,所 以 ,一 般 不 要 选择 Wipe Original( 删 除 原 文件 )。 如 果 只 是 想 加 密 文件 ， 
以 防止 被 别人 窃取 , 则 可 以 使 用 自己 的 密 钥 加 密 , 这 样 ,只 有 你 自己 才能 打开 文件 。 

生成 的 加 密 文 件 以 . pgp 结尾 , 右 击 加 密 文 件 , 在 菜单 中 选择 PGP-~Decrypt,PGP 程序 
自动 提取 出 其 中 的 公 钥 ,并 提示 用 户 输入 私 钥 的 “Passphrase”( 见 图 10. 2. 14) ,检验 通过 后 ， 
还 原 为 原始 文件 。 但 是 ,PGP 在 处 理 中 文 时 并 不 是 很 理想 ,中 文 文件 名 在 还 原 时 有 时 不 能 
正常 显示 。 

5. 数字 签名 

签名 方法 也 和 加 蜜 一样。 选择 菜单 中 的 Sign, 弹 出 签名 窗口 ( 见 图 10. 2.15), 
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PGPshell — Enter Passphrase 


PGPshell — Ent P hı 
Message was encrypted to the following public key(s) : SA BERI PE SS 
huangjie_2005 <huangjiebupt@163.com>... (DH/2048] 


Signing key: [huangiie <huangie_2000@163.com> (DSS/1024) d 


Enter passphrase for above key: ly Hide Typing 


Enter passphrase for your private key : IV Hi i 
OK Cancel 
metaaaasieatar soma 


I Text Output 


10214 输入 密码 的 Passphrase 图 1025 数字 签 

如 果 选 择 Detached Signature,PGP 会 为 原始 文件 产生 一 个 单独 的 签名 文件 ,以 . sig 结 
尾 。 也 可 以 右 击 原始 文件 ,在 快捷 菜单 中 选择 PGP 一 Verify Signature 命令 ,PGP 程序 自动 
进行 验证 ,并 显示 出 验证 结果 ( 见 图 10. 2. 16). 


PGPlog 


huangjie [m ie 200081 


D sncryption tes... humgjie Gwuangjie 200081, 2005-9-30 11:33:58 TTTS 


026 数字 签名 验证 结果 
6. 利用 PGP 发 送 数字 签名 邮件 


可 以 将 文件 进行 签名 后 ,作为 附件 发 给 对 方 ,也 可 以 直接 对 邮件 正文 进行 签名 。 发 送 签 
名 邮件 和 发 送 普通 邮件 是 一 样 的 。 


首先 使 用 邮件 用 户 代 理 完 成 邮件 的 编写 ,示例 中 使 用 的 是 Foxmail, 如 图 10. 2. 17 
所 示 。 


Ó 写 邮 件 (huangjiebupt@163. com) 
邮件 如 编辑 E) SEW BAD 格式 FF) HQ) TAD 


$ss949*i 


发 送 HRS RF 草稿 邮件 头 | 拼写 检查 检查 地 址 ”更改 帐户 
收 件 人 : huangji ebupt@163. com 

we: | 
主题 : 


digital signature test 


huangjiebupt, (iF! 


这 是 一 封 演示 邮件 ， 用 于 演示 利用 PGP 如 何 对 邮件 进行 数字 签名 。 


huangjie 
huang jie 2000@163. com 
2005-09-30 


图 10217 用 于 试验 的 一 封 电子 邮件 
#317 


工具 托盘 的 PGPtray 的 图 标 上 右 击 ,在 快捷 菜单 中 选择 Current Window Sign 命令 , 弹 
Mem O ,填写 Passphrase, 即 可 得 到 一 封 经 过 签名 的 电子 邮件 ,如 图 10. 2.18 所 示 。 


Ó 写 邮件 (huangjiebupt@163. com) 
AO) ”编辑 区 ) SSW BAO 格式 EF) 选项 @) IAW 


2g?972]*€5558 


发 送 。 特快 专递 RF 拼写 检查 检查 地 址 ”更 疏 帐户 


收 件 人 :  [huangjiebupt@163. com 
pe: T 
EM: [dicta sigmature test | 


Hash: SHAL 
huangjiebupt， 您 好 ! 
这 是 一 封 演示 邮件 ， 用 于 演示 利用 PGP 如 何 对 邮件 进行 数字 签名 。 
E 


huangjie 
huang jie 20000163. com 
2005-09-30 


Version: PGPfreeware 6.5.3 for non-commercial use <http://www. pgp. com> 


iQA/AwUBQzxGLawZ*K61DTtgEQJPBQCgq471iqgFgQfTPRON11n/2gpJ8FbllAnRaK 
OAPLMFU jUHTVNuIeHPZ/vpno 
-810T 

END PGP SIGNATURE-———— 


插入 


A028 经 过 签名 的 电子 邮件 


当 对 方 接收 到 签名 的 电子 邮件 后 ,直接 在 工具 托盘 的 PGPtray RERE Aik. PERSE 
单 中 选择 Current Window—Decrypt & Verify 命令 ,PGP 程序 经 过 验证 后 得 到 签名 者 信 
息 ,如 图 10.2. 19 所 示 。 


Text Viewer 


= PGP Signature Status: good 
wx Signer: huangiie qhuangie. 2000163. com» 
~ Signed: 2005-9-30 11 ad 

** Verified: 2005-9-30 11 

** BEGIN PGP VERIFIED S MESSAGE = 


huangiiebupt, 您 好 
这 是 一 封 演示 邮件 ， 用 于 演示 利用 PGP 如 何 对 邮件 进行 数字 签名 。 
E 


huangie 
huangjie_2000@163.com 
2005-09-30 


h END PGP VERIFIED MESSAGE ** 


图 029 签名 验证 后 的 电子 邮件 
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7. 利用 PGP 发 送 加 密 和 签名 邮件 


首先 使 用 邮件 用 户 代理 完成 邮件 的 编写 ,示例 中 使 用 的 是 Foxmail 


所 示 。 


Ó SMH (huangjie 20006163. com) 
| oa ee) SEY) HA BAO) 选项 (0) TAM 


gygy 


党 特快 专递 。 保存 人 附件 邮件 头 


收 件 人 : i 
Pik: 
EB [encrypt a sim test |. 


huangjie_2000， 您 好 ! 


这 是 一 封 测试 邮件 ， 用 来 测试 FEF 对 电子 邮件 的 加 密 和 签名 功能 。 
E 


huangjie 
huang jiebupt@163. com 
2005-10-08 


10220 用 于 试验 的 一 封 电子 邮件 


;如 图 10. 2. 20 


在 工具 托盘 的 PGPtray 图 标 上 右 击 ,在 快捷 菜单 中 选择 Current Window Encryp & 
Sign 命令 ,在 Key Selection Dialog 中 选择 收 信 人 的 公 钥 。 也 可 以 选择 Clipboard>Encrypt & 
Sign 命令 ,但 是 ,要 首先 将 需要 加 密 的 内 容 复 制 到 剪贴 板 ,加 密 完 成 后 再 用 剪贴 板 中 的 内 容 


替换 原 内 容 , 如 图 10. 2.21 所 示 。 


æ PGPtray — Key Selection Dialog 


2048/1024 
[=]Bill Blanke <wjb@pzp. com> 4096/1024 
[e]Chanda Groom <chanda_groom@nai. com> 2048/1024 
[z]husngjie 2005 <huangjiebupt@163. com> 2048/1024 
2048/1024 


[ejJason Bobier <jbobier@privnet. com> 2059/1024 
[=]Jason Bobier <k059509@hobbes. kzoo. edu? 2059/1024 


[z]husngjie Qhuangjie 20008183. com> 


[^ Secure Viewer 


[^ Conventional Encryption 


图 10221 选择 密 钥 


ES i a 


加 密 完成 后 ,加 上 自己 的 数字 签名 。 这 时 需要 输入 自己 私 钥 的 Passphrase, 如 图 10. 2. 22 
所 示 。 


PGPtray 一 Enter Passphrase 


Signing key : [huangie <huangjie_2000@163.com> (DSS/1024] LA | 


Enter passphrase for above key: IV Hide Typing 


10222 数字 签名 


完成 后 ,邮件 正文 会 自动 被 密 文 所 替换 。 如 图 10.2.23 所 示 。 单 击 “ 发 送 ” 按 钮 ,一 封 用 
收 信 人 公 钥 加 密 后 的 PGP 邮件 就 完成 了 。 


® SMH (huangjie 20006163. com) 
HE QU 编辑 人 E) EEV MAC) 格式 下 ) 选项 @) TAG 


sgpsucmqmex 
发 送 HRS RF 草稿 附件 邮件 头 | 拼写 检查 检查 地 址 ”更改 帐户 
路 件 人 : |huangjie_20008163. com 


抄 送 : 
主题 : encrypt & sigh test 


Version: PGPfreeware 6.5.3 for non-commercial use <http://www. pgp. com> 


gANQR1DBwU4DNc8BskV¥wckQQB/4sgkBRxaLOAiPNyKI/oxPNGs70LJrz5qSTssk7 
nzluaYGVUnXCYTUiETRQSTrhZL86V1JIbNaYxWpBJ2ZnSMKgrZSugRdsU6]APOZUK 
E1GMORSd2zCCHVCc1lcFddmO7TE*a8N11Xb2YVrltgpeo jXnkOgP4dY g0S3N 4anr4i 
f6o4QrZSpKFV57YqN1DSnCxXbYsYyNFvElfa2ScEvsmjl6fXlvLVtoCWUyVTIalb 
E4cNQh96bFCsKuLacmoKOP1PpQ8SkwK6Y 0Do+trtFVVyRNEw+DBv36L1 ZuTlupIle 
FA jr96fgzurdn4Vhgqy*40hO8N JU41¥DF O6N3mCOt 6UdxmJ/ jNB/9ZQ2fEXdeHVASX 
ENBsRU2GMw6yI c/DByDEo/nuxXDP75ni TYRR*SpNI*di xPGJXHO8ip6 jZP1B196T 
WPZVxwNnAG4yswS8szVCi4xI*GCFc3VBOyT7mvhMSx]arFuJ]jBmShXwrTAZNncLxs 
güBaC9q9xGr*SwBUNSOvI4GvOPYlMETlrPSNNLAXBnkPH5xbi83ZfQum*yK cEPmk 
Y0lGnNOSLQ2MSGSrCu/G444yhGBad JyU*Zni t+Ry3Sollr4QEMJ£Dt xDRI RK82f£*0 
lhParrglJQVEexoIyuj3086GPJGnYcmtDExP /GOtCHRceNXLwuH tn1ED] SObBVwn / 
ocTp5pS/ycAvHkKZXiBEPSqXJUWZut5Uk3SxdvLKHl1QDoaNonNIWfEESNBacyllc 
j6co2WkLKZhge8XOw3eD£JyecZLvvlOKivTJYQvX jgNkY /03iruS9udFuNPULTOV 
SWFONdlQTMGdQOOPSTa4 jBdpFylAyHKpk6irX918RilZQel9EUAqtFeXqvaeyjyn 
9GtSNi9pMZtBtokwQBr8xSCZQinFqCuJuyXs 9SYOQNLTRPi s ZQ3qW /aL8s 5/Aqx64 
9SHAgJnSSEKK2vO1zzztlES3EnlFOPsyBSRztQFPewE jSw4ivYZDPtIDwdpZPlt4zR 
PGiZEpQCHpk- 

=hoyH 

END PGP MESSAGE---—— 


插入 


图 10223 加 密 后 的 邮件 正文 


当 收 到 一 封 加 密 的 电子 邮件 后 ,可 以 用 与 前 面相 同 的 方法 解密 ,如 图 10. 2. 24 和 
图 10.2.25 所 示 。 但 是 ,由 于 PGP 对 中 文 的 支持 不 是 很 好 ,因此 ,有 时 会 出 现 乱 码 的 情况 。 
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PGPtray 一 Enter Passphrase 


Message was encrypted to the following public key[s] : 
huangjie <huangjie_2000@163.com> (DH/2048) 


Enter passphrase for your private key : Hide Typing 


pee 


cone 


图 10224 输入 自己 私 钥 的 Pessphrase 


Text Yiewer 


= PGP Signature Status: good 
= Signer: huangjie «huangjie 2000(163.com» 
"** Signed: 2005-10-8 9:38:51 
erified 2005-10-8 9:46:32 
= BEGIN PGP DECRYPTED/VERIFIED MESSAGE ** 


huangie 2000, frt 
这 是 一 封 测试 邮件 ， 用 来 测试 PGP 对 电子 邮件 的 加 密 和 签名 功能 。 
E 


huangiie 
huangiiebupt@163.com 
2005-10-08 


== END PGP DECRYPTED/VERIFIED MESSAGE *** 


Copy to Clipboard 


图 1022 解密 结果 


实验 报告 要 求 


。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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第 11 章 图 像 信 息 隐 藏 实验 


实验 器 材 

PCy 

预习 要 求 

理解 和 掌握 信息 隐藏 的 基本 原理 ,了 解 图 像 的 组 成 和 构造 原理 。 

实验 任务 

了 解 基本 的 静态 图 像 的 文件 格式 ,了 解 图 像 信息 隐藏 和 提取 的 基本 原理 .分 类 和 方法 ， 
学 会 使 用 现 有 软件 工具 进行 图 像 信息 隐藏 操作 ,更 进一步 的 要 求 就 是 能 够 理解 软件 内 部 的 
基本 构造 。 


硬件 环境 : Windows 7 主机 。 
软件 环境 : 信息 隐藏 软件 。 


预备 知识 
信息 Do \ 隐 藏 原理 
Sca Ap 


1. GIF 图 像 信息 隐藏 与 提取 实验 

(D 打开 实验 自 带 的 MediaWatermark. exe 应 用 程序 ,双击 后 出 现 如 图 11. 1 所 示 的 
界面 。 

(2) 在 界面 上 ,可 以 看 到 有 一 个 区 域 为 “请 输入 你 需要 财 人 的 信息 ”, 在 该 区 域 填 人 所 需 
EA KIK ED fei A, ,此 处 填 入 的 水 印信 息 为 “gif 图 像 数 字 水印 实 验 ”, 如 图 11. 2 所 示 。 

(3) 填写 完 水 印信 息 后 ,界面 中 有 一 项 为 "图像 水 印 方案 ”, 单 击 下拉 菜 单 HERE“ Gil 图 
像 水 印 ” 一 “向 gif AU PRAT”. WI 11. 3 所 示 。 

(4) 单 击 后 ,进入 水 印 做 入 界面 ,要 求 用 户 选择 水 印 所 要 肯 入 的 Gif 图 片 载体 ,如 图 11. 4 
所 示 。 

(5) 在 本 实验 中 ,选择 mediafile\gif 文件 夹 中 的 gif test(5). gif, Ye Je. GE TOT T 
钮 ,如 图 11.5 所 示 。 

(6) 随后 ,会 弹出 "另存 为 ?对 话 框 ,为 嵌入 水 印 后 的 新 文件 命名 和 确定 保存 路 径 ,在 本 
实验 中 ,将 新 文件 命名 为 test5-hide, 最 后 保存 的 文件 名 会 自动 加 上 后 缀 ,如 图 11.6 所 示 。 
最 终 在 文件 夹 看 到 的 文件 为 test5-hide. gifhide. gif ,如 图 11. 7 所 示 。 


v 2A 


输出 媒体 中 嵌入 的 信息 


ud 


图 111. MedaMaermerk 界面 


WESEL TR SE HE A BE 


sif 图 像 数字 水 印 实 


图 112 水 印信 息 添加 
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图 113 水 印 方案 选择 


SHH D: |S 水印 DR 综合 方案 BB -adm 
= 


文件 名 QD: fe cif mro | 
HRUD: [+ aif 图 取消 j 


T 以 R 读 方式 打开 @) Á 


图 114 选择 图 片 载体 


查找 范围 四: [65 si B -odam 


thide. gif. gif test @). cif 

dhidel. gif zif test G) gif 
[Ed dhi de2. gif 

dhide3. gif Gacif test (5). zif 


dhided. gif 
[Ed dhi de. zif 


文件 名 :aif test G) cif a 
ARH): fe zif 本 — 


D 以 只 读 方式 打开 @) 


图 115 打开 图 片 载体 
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RAED: [Gait B+ace- 
ji. bmp É dhide3. gif Hif test 6). cif 
[E] Ihi de. gif Ga dhided. gif S) Thunbs. db 
a2. bmp Ki dhide. gif 
E] ciper. txt Gicif test @). cif 
[Ej dhi del. gif Gacif test G). cif 
[Ed dhide2. gif Gicif test (5). cif 


ARD: [rests-hi ae. zif BFO Í 
GEET MENT 1 
取消 A 


16 保存 图 片 载体 


XAO REO SEV hima TAG $8500 


Q7- OB ss (xn m 


地 址 四 ) EJ 


g 作为 各 灯 片 查看 N-n ACDSee6 BIP Image 


个 联机 订购 照片 ide. gi ACDSee6 GIF Image 
ACDSee6 BMP Image 


1 bi 
us 文本 文档 
| d dhi del. gif ACDSee6 GIF Image 
文件 和 文件 来 任务 A) | Ed dhi der. gif ACDSee6 GIF Image 
dhide3. gif ACDSee6 GIF Image 
C9 A-A IE dhided. cif ACDSee6 GIF Image 
A Bit ree na — d dhi de. gif ACDSeeb GIF Image 
Web gif test (2). gif ACDSee6 GIF Image 
kg 共享 此 文件 来 S test (3). gif ACDSeeb GIF Image 
if test ©). cif ACDSee6 GIF Image 
|Mijcif test 6). cif ACDSee6 GIF Image 
数据 库 交 件 
ACDSee6 GIF Image 


D mediafile 
B Bm 
FECIT 
PEE 


图 117 选择 图 片 载体 


CD) 命名 后 ,保存 新 文件 ,会 出 现 操 作成 功 的 提示 ,如 图 11.8 所 示 。 

(8) 除了 直接 将 水 印信 息 嵌 入 到 原始 载体 之 外 ,还 可 以 利用 软件 中 的 “水 印信 息 处 
理 ”>“ 存 储 输入 水 印信 息 ” 功 能 ,将 该 水 印信 息 保存 为 txt 文件 ,在 本 实验 中 ,将 文本 文件 命 
名 为 test-5 cipher. txt, 如 图 11.9 所 示 。 

(9) 水 印 散 入 后 ,就 可 以 比较 原始 图 像 和 肉 入 水 印 图 像 的 区 别 了 ,打开 原始 文件 和 水 印 
HRA SCE RTE B9 SCRE ,找到 两 个 文件 后 打开 ,如 图 11. 10 所 示 ( 左 图 为 原始 图 像 , 右 图 为 租 
入 水 印 后 的 新 图 像 ) 。 

(10) 可 以 看 到 ,通过 肉眼 观察 并 不 能 看 出 两 幅 图 像 有 任何 区 别 。 用 WinHex 工具 来 进 
行 两 幅 图 像 的 数据 比较 ,在 WinHex 中 打开 两 个 图 像 文件 ,选中 * 查 看”- 盖 同步 和 比较 ”, 结 
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po mE 


请 输入 你 需要 嵌入 的 信息 


if 图 像 数 字 水 印 实验 


118 保存 新 文件 


REO: [Oat B+ace- 


| [E] ciper. txt 


文件 名 加 :|test-5 cipher. txt 保存 (8) j 


图 119 命名 文本 文件 


图 1110 原始 文件 与 水 印 文件 


果 如 图 11. 11 所 示 , 可 以 看 到 ,图 中 黑色 部 分 即 两 个 文件 数据 中 的 不 同 之 处 。 
AD 可 以 看 到 ,虽然 两 幅 图 像 从 视觉 上 并 无 差别 ,但 是 实际 数据 却 有 着 许多 的 不 同 。 
(12) 下 面 将 水 印 从 刚才 产生 的 新 文件 中 提取 出 来 ,选择 界面 中 的 “图 像 水 印 方案 一 
"Gif 图 像 水 印 ” > "KA gif 图 片 中 提取 信息 ”, 选 中 后 ,会 弹出 “打开 ”窗口 ,让 用 户 选择 含有 水 
印信 息 的 载体 文件 ,在 本 实验 中 ,选择 test5-hide. gifhide. gif, 如 图 11. 12 所 示 。 
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RHO KO 搜索 E) EC SEW IAD RD iem) Se) $8500 
Du Léo HaGA alo MER | - Beso | du oam 


123456 Offset 0 2345 
D 49 46 38 39 61 B5 00 00000000 46 38 39 61 B5 
ui [CE] 00000010 

E 00000020 
00000030 
00000040 
00000050 
00000060 
00000070 
00000080 
00000090 
000000A0 
00000080 
000000c0 
000000D0 
000000E0 
000000F0 
00000100 
00000110 
00000120 
00000130 
00000140 
00000150 
00000160 


Tit 原始 文件 与 水 印 文件 的 数据 比较 


SEHD: [O cit BM +e8ce- 


[Ed Lhi de. gif aif test @). eif 
[3 dhi del. gif if test G). cif 
[Ed dhi de2. eif Gjcif test 5). cif 
[Ed dhi de3. cif sif test (5). eif 


[E dhi de4. gi £ IE testS-hi de. gi fhide. gif 


IE] dhi de. gif 


rzw: E 打开 @) j 
文件 类 型 ED): fe. gif E P 


厂 以 只 读 方 式 打开 QD 


E] 1112 打开 图 片 


(13) 选 定 文件 后 单 击 “ 打 开 ” 按 钮 ,软件 就 会 开始 水 印 提取 操作 ,将 水 印 提取 出 来 后 会 出 
现 相应 提示 ,并 在 界面 的 “输出 媒体 中 岁入 的 信息 ”处 显示 出 提取 出 来 的 水 印 ,如 图 11. 13 
所 示 。 

可 以 直观 地 从 界面 上 看 到 ,内 入 的 水 印信 息 和 输出 的 水 印信 息 是 一 致 的 。 如 果 水 印信 
息 过 长 ,也 可 以 利用 “水 印信 息 处 理 ”>“ 储 存 提取 后 水 印信 息 ”, 将 提取 出 来 的 信息 保存 为 文 
本 文件 。 

(14) 除了 在 界面 上 直接 输入 要 舱 入 的 水 印信 息 外 ,用 户 还 可 以 利用 外 部 导入 文件 的 功 
能 将 含有 水 印信 息 的 文件 藤 入 到 载体 图 像 中 ,选择 “水 印信 息 处 理 ”>“ 载 入 水 印信 息 ”, 会 弹 
出 如 图 11. 14 所 示 的 对 话 框 。 
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请 输入 你 需要 嵌入 的 信息 输出 媒体 中 嵌入 的 信息 
aif 图 像 数 字 水 印 实验 ei ft 字 水 印 实验 
| “4 
BASE 水 印信 息 长 度 
jo | F 


A MSN Mess 
TES 
s p 
DESCRI EE = Bi 
1*5 30/30 fU 3. 7 厘米 [了 


11.13 提取 水 印 


(15) 选择 “从 文件 输入 ”, 就 可 以 将 外 部 文本 文件 作为 水 印信 息 伐 入 到 原始 载体 中 去 ， 
如 图 11. 15 所 示 。 


BHD: [O cit BW -mncg 


E) ciper. txt 


MAW: — test-5 cipher 2). txt 下 一 步 0) j 


输入 方式 选择 一 一 一 一 一 一 一 一 HRD: WO mo j 


nu AKTES ENS 选择 被 嵌入 的 文件 


(16) 单 击 * 下 一 步 ? 按 钮 ,水 印 戏 入 的 过 程 与 步骤 (3) 一 (7) 相 同 。 

(17) 类 似 于 对 BMP 图 像 的 攻击 ,下 面 对 实 验 中 骨 入 水 印 后 的 新 图 像 进 行 修改 ,看 修改 
后 是 否 还 能 成 功 提 取出 原来 的 水 印信 息 。 用 Windows 自 带 的 画图 将 符 入 水 印 后 的 文件 
test5-hide. gifhide. gif 打开 ,用 铅笔 在 图 上 随意 地 画 几 笔 ,如 图 11. 16 所 示 , 并 另存 为 test5- 
hide. gifhide-modified. gif。 

(18) 保存 好 之 后 ,还 是 用 前 面 所 述 的 水 印 提取 的 方法 ,将 水 印 从 修改 后 的 文件 中 提取 
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出 来 ,如 图 11.17 Bras. 


Sia ©: [C3 ct B -ogm 


Ls 
[Ed dhi de. zif 

Geif test (2). gif 
aif test G). eif 
Gacif test C). cif 
if test 6). eif 

[Ed t estS-hi de. gi fhide. cif 


test5-hi de. gi fhi de-modi fied. GIF 


D 以 只 读 方 式 打开 Q) 


116 修改 水 印 后 的 图 像 11.17 提取 水 印 修改 后 的 文件 

(19) 选中 文件 后 , 单 击 “打开 ”按钮 即 开始 把 水 印信 息 从 修改 后 的 文件 中 提取 出 来 , 提 
取 结 果 如 图 11. 18 Bros ,可 以 看 出 ,虽然 文件 经 过 了 修改 ,但 是 水 印信 息 还 是 能 够 被 完整 无 
误 地 提取 出 来 。 


图 1118 显示 提取 结果 


(20) 下 面 对 柑 入 水 印 的 图 像 进 行 裁剪 攻击 ,看 看 图 像 被 裁剪 后 是 否 还 能 提取 出 有 效 的 
水 印信 息 , 利 用 Windows 自 带 的 画图 将 图 像 文件 裁剪 成 如 图 11. 19 所 示 ( 左 图 为 裁剪 后 的 
图 像 , 右 图 为 嵌入 水 印 后 未 经 修改 的 图 像 ) 。 

可 以 看 到 ,经 过 裁剪 后 的 图 像 与 原始 图 像 相 比 有 了 很 大 的 差别 。 

(21) 修改 好 图 像 文件 后 ,将 此 文件 另存 为 test5-hide. gifhide-modified2. gif, 利 用 前 面 


所 述 的 水 印 提取 过 程 , 将 水 印信 息 从 修改 过 的 文件 中 提取 出 来 ,如 图 11. 20 所 示 。 
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B19 图 片 剪 裁 后 对 比 


=e SERE R Oe 


it 图 像 数 宇 水 印 实验 ad 


| 已 经 成 功 提取 信息 信息 


| 


NO 提取 水 印信 息 


从 图 中 可 以 看 到 ,经 过 修改 后 的 图 像 还 是 保留 了 有 效 的 水 印信 息 , 从 而 使 提取 者 能 够 正 
确 地 将 水 印信 息 提 取出 来 。 

2. JPEG 图 像 信 息 隐 藏 与 提取 实验 

工具 和 实验 步 又 与 前 面 的 实验 类 似 。 读 者 可 以 自行 寻找 相关 JPEG 图 像 进行 操作 。 

3. BMP 图 像 信 息 隐 藏 与 提取 实验 

实验 附带 的 工具 里 面 可 以 找到 MyIP. exe 文件 ,在 同一 个 文件 夹 下 面 ,有 标准 测试 图 片 
LION. BMP 和 将 被 徐 入 的 水 印 文件 wm. txt( 文 件 中 写 入 1234567890abcdefghijklmnopq 4 
27B 的 信息 )。 

双击 MyIP. exe 程序 ,打开 它 ,默认 是 选择 “和 佬 和 水印 ”, 如 图 11.21 所 示 。 

单 击 “ 打 开水 印信 息 文件 ”按钮 ,打开 如 图 11. 22 所 示 的 对 话 框 ,选择 需要 舱 入 的 水 印 文 
件 , 本 实验 选择 wm. txt。 这 里 需要 解释 的 一 点 就 是 ,每 种 载体 (视频 、 音 频 、 图 片 和 文字 等 ) 
能 被 嵌入 的 水 印 容 量 是 有 限制 的 ,超过 这 种 限制 的 水 印 嵌 入 可 能 对 原 载体 造成 灾难 性 的 破 
坏 的 。 例 如 ,向 一 幅 大 小 是 40X 40pixel f] Hr iA 1MB 的 信息 ,首先 ,信息 很 可 能 就 根本 
没有 办 法 被 成 功 谍 和 人 ;其 次 ,就 算是 被 嵌入 了 ,这 幅 图 片 也 很 可 能 不 是 原来 的 图 片 ,而 很 可 能 
是 乱码 或 者 是 别 的 什么 东西 了 。 这 种 针对 某 种 类 型 载体 能 被 谋 入 的 最 大 信息 量 ( 骨 人 的 信 
息 量 必须 小 于 等 于 它 ) 叫 作 水 印 容 量 , 目 前 也 是 数字 水 印 研究 中 的 一 个 热门 课题 ,有 兴趣 的 
读者 可 以 自己 查阅 相关 资料 。 一 般 来 讲 , 水 印 容量 与 水 印 算法 等 其 他 方面 都 无 关 , 只 与 特定 
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(€ RAKE C 检测 水 印 


打开 水 印信 息 文件 
[CE | | | 


提取 水 印 
提取 的 水 印信 息 : 
Emp 


1121. MP 界面 示意 图 


类 型 的 载体 性 质 有 关 , 也 就 是 说 ,同一 种 性 质 的 载体 的 水 印 容量 应 该 是 一 致 的 ,或 者 说 能 被 
同一 种 公式 或 定理 所 表述 。 水 印 容量 可 以 说 是 载体 的 一 种 固有 性 质 。 本 实验 提供 的 程序 
MyIP 对 艇 入 的 水 印 长 度 也 有 一 定 的 限制 ,当然 这 里 所 指 的 限制 条 件 远 小 于 BMP 图 像 的 水 
印 容量 ,这 种 限制 是 综合 考虑 了 工程 实用 性 和 算法 复杂 度 等 方面 之 后 的 结果 ,MyIP 程序 能 
艇 入 的 水 印 的 最 大 长 度 是 30B, 大 于 这 个 长 度 的 水 印 是 没有 办 法 被 该 程序 成 功 戏 入 的 。 

单 击 图 11. 21 中 ”原始 图 像 ” 右 边 的 “打开 ”按钮 ,在 “打开 ”对话 框 中 选择 将 要 被 做人 水 
印 的 图 像 LION. BMP, 单 击 “ 打 开 ” 按 钮 回 到 主 程序 ,如 图 11. 22 所 示 。 


打开 HE 
查找 范围 部 ): [O 演示 软件 z| «ee: 


24.bmp flower hide.bmp 


0824ps,bmp LION,BMP 


bamboo.bmp [N LrON-hide.BMP 


flower hide1.bmp 


文件 名 Q0: Jor BMP iT O 
文件 类 型 [)， [位 图 文件 B) z 取消 
—-» | 


图 1120 选择 被 嵌入 水 印 的 文件 


现在 主 程序 的 显示 如 图 11. 23 所 示 。 

单 击 “保存 图 像 ” 右 边 的 “打开 ?按钮 ,在 “另存 为 ?对 话 框 中 选择 府 入 水 印 后 保存 的 图 像 ， 
这 里 定义 为 LION-en. BMP , 单 击 “保存 ?按钮 回 到 主 程序 ,如 图 11. 24 所 示 。 这 时 ,可 能 会 
有 一 定时 间 的 等 待 或 者 屏幕 可 能 会 闪烁 一 下 ,这 是 因为 程序 在 计算 内 入 水 印 后 的 图 像 数 据 
并 保存 之 。 

现在 可 以 到 刚才 保存 LION-en. BMP 文件 的 位 置 去 寻找 这 个 文件 了 ,打开 它 ,会 发 现 肉 
眼 根本 发 现 不 了 区 别 。 如 图 11.25 所 示 ,左边 是 原 图 ,右边 是 嵌入 水 印 后 的 图 像 。 

* 381 * 


C RAKED C 检测 水 印 


打开 水 印信 息 文件 | 
原始 图 像 : G: watermarkt 张 茄 提 供 的 信息 打开 


18 主 程序 显示 示意 图 


另存 为 BE 
保存 在 中 : [加 演示 软件 z| + © cm 


flower hide1.bmp. 


文件 名 四 — [nores BaP 
保存 类 型 D: [exe (x. BMP) zi 取消 
Ey 


图 1124. 保存 嵌入 水 印 的 图 像 数 据 


1125 原 图 与 嵌入 水 印 后 图 像 的 对 比 


下 面 验证 被 舱 入 的 水 印 。 可 以 在 刚才 的 MyIP 主 程序 中 单 击 “ 提 取水 印 ” 按 钮 来 直接 提 
取水 印 ,但 是 为 了 澄清 某 些 人 所 认为 的 "水印 是 被 程序 保存 在 内 存 里 ,而 不 是 真正 保存 在 图 
像 数据 里 面 ?的 误解 ,关闭 MyIP 程序 ,再 重新 打开 它 。 这 次 要 更 改 默认 设置 了 ,需要 选择 
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“检测 水 印 ” 单 选 按钮 。 
单 击 “ 提 取水 印 ” 按 钮 ,在 打开 的 对 话 框 中 选择 LION-en. BMP 图 片 ,然后 单 击 “打开 ?” 按 


钮 回 到 主 程序 ,等 待 几 秒 钟 之 后 ,程序 显示 如 图 11. 26 所 示 。 


OK 
C 嵌入 水 印 @ 检测 水 印 
打开 水 印信 息 文件 
原始 图 像 : 
保存 图 像 : 


提取 的 水 印信 息 : [1234567890 abcdefehi jkImnop 
图 像 预 处 理 


图 1126 水 印信 息 提取 


可 以 看 到 ,水 印信 息 被 完好 地 提取 出 来 了 。 

现在 检测 一 下 这 种 水 印 算 法 的 鲁 棒 性 。 用 任何 一 种 图 像 编辑 工具 , Photoshop 或 者 
Windows 自 带 的 画图 均 可 ,打开 LION-en. BMP 文件 ,在 上 面 随便 画 一 些 点 和 线 ,或 者 涂抹 
一 下 画面 ,如 图 11. 27 所 示 ,然后 保存 为 LION-en-c. BMP. 

用 MyIP 程序 提取 LION-en-c. BMP 中 的 水 印 ,可 以 发 现 水 印 仍然 被 完好 地 提取 出 来 ， 


程序 运行 结果 如 图 11. 28 所 示 。 


OK 
C RAKED (e 检测 水 印 
打开 水 印信 息 文件 
原始 图 像 
保存 图 像 


提取 的 水 印信 息 : ”|1234567890abcdefehijklmnop 
图 像 预 处 理 


图 1128 水 印信 息 提 取 


图 1127 修改 水 印 图 片 
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至 于 为 什么 本 程序 支持 的 水 印 算法 有 比较 高 的 鲁 棒 性 ,将 在 后 续 章 节 讨 论 。 

下 面 看 一 下 肯 入 水 印 前 后 的 两 张 图 片 在 数据 上 的 改动 。 用 Ultraedit 或 Winhex 打开 
LION. BMP 和 LION-en. BMP 两 张 图 片 , 可 以 看 到 ,图 片 的 很 多 数据 被 改变 了 ,比如 
图 11. 29 指出 的 部 分 。 实 际 上 Ultraedit 或 Winhex 软件 本 身 支持 两 个 文件 数据 的 比较 ,这 
个 操作 需要 通过 “工具 ”一 “文件 工具 ”比较 …” 命 令 来 进行 。 


发 茹 提供 的 信息 B 


Ele Edi Search Project View Format Column Macro Advanced Window Help 
LION-en. BHP | LrON. f? | 


*€»DUDGciÀié&I s/!wis5 
ER Eel 区 G:\watermark\k S48 Ut Ta SAEN 


[Project Pates Imi] 202514505: FA 22 BE FA 20 
00081460h: BE 
TG Project Fies 00081470h: FC 
00081480h: ic 
00081490h: c2 
000814a0h: FC 
000814b0h: 21 
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000814d0h: FE 
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000814f0h: BD 
00081500h: FF 
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00081520h: BB 
00081530h: BC 
00081540h: 4B 
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00081600h: 00081600h: 
00081610h: 00081610h: 
00081620h: 00081620h: 
00081630h: 00081630h: 
00081640h: 00081640h: 
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:.mw..|jmjaj2g|o?* |« 
图 1129 原始 文件 与 水 印 文 件 的 数据 比较 


[Select open file (The TAB BAR may be dragged to a new position) 


“FEI Rl EY AS I] A SERA PRA TIER BI fi A ,在 数字 水 印 技术 中 有 一 个 新 

兴 的 分 支 专门 研究 水 印 检测 BE Io 3E 43 WT ACE AS) El) 2c d AE E WT EEE Je 8 CR. 

入 了 水 印 , 如 果 被 嵌入 了 水 印 , 是 否 可 以 通过 菜 种 方式 把 水 印 完好 地 提取 出 来 。 在 本 实验 
中 ,只 需要 知道 数字 水 印 的 概貌 就 可 以 了 , 感 兴 趣 的 读者 可 以 查阅 相关 资料 。 


实验 报告 要 求 


。 实 验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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第 12 音 木马 植 入 与 防范 实验 


实验 器 材 


“冰河 ”和 “ 广 外 男生 ”木马 程序 ,一 套 。 
PC ,一 台 。 


预习 要 求 


(1) 做 好 实验 预习 ,复习 与 木马 有 关 的 内 容 。 
(2) 熟悉 虚拟 机 的 使 用 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 


理解 和 掌握 木马 传播 和 和 运行 的 机 制 , 通 过 手动 删除 木马 ,掌握 检查 木马 和 删除 木马 的 技 
7j ,学 会 防御 木马 的 相关 知识 ,提高 对 木马 的 安全 防范 意识 。 


实验 环境 


硬件 环境 : Windows 2000/XP 主机 。 
软件 环境 :“ 冰 河 ” 和 “ 广 外 男生 ”木马 程序 。 


预备 知识 


(1) 木马 的 特性 。 
(2) 木马 的 入 侵 途 径 。 


实验 步 又 


1.“ 冰 河 ” 木 马 的 使 用 

“冰河 ”是 国内 一 款 非常 有 名 的 木马 ,功能 非常 强大 。“ 冰 河 ” 一 般 由 两 个 文件 组 成 ， 
G_Client 和 G_Server。 其 中 G_Server 是 木马 的 服务 器 端 ,就 是 用 来 植 入 目标 主机 的 程序 ; 
G Client 是 木马 的 客户 端 ,就 是 木马 的 控制 端 。 先 打开 控制 端 G_Client, 弹 出 “冰河 ”的 主 
界面 ,如 图 12. 1 所 示 。 

下 面 对 快 捷 工 具 栏 的 各 按钮 工具 做 简要 介绍 (从 左 至 右 ) 。 

CD 添加 主机 : 将 被 监控 端 IP 地 址 添加 至 主机 列表 ,同时 设置 好 访问 口令 及 端口 ,设置 
将 保存 在 Operate. ini 文件 中 ,以 后 不 必 重 新 输入 。 如 果 需 要 修改 设置 ,可 以 重新 添加 该 主 
机 ,或 在 主 界面 重新 输入 访问 口令 及 端口 并 保存 设置 。 
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(2) 删除 主机 : 将 被 监控 端 TP 地 址 从 主机 列表 中 删除 (相关 设置 也 将 同时 被 清除 ) 。 

CD 自动 搜索 : 搜索 指定 子 网 内 安装 有 “冰河 ”的 计算 机 。 

(4) 查看 屏幕 : 查看 被 监控 端 屏幕 。 

(5) 屏幕 控制 : 远程 模拟 鼠标 及 键盘 输入 。 

(6)“ 冰 河 ” 信 使 : 点 对 点 聊天 室 。 

CD) 升级 1.2 版 本 : 通过 “冰河 ”来 升级 远程 1. 2 版 本 的 服务 器 程序 

(8) 修改 远程 配置 : 在 线 修 改 访问 口令 、 监 听 端 口 等 服务 器 程序 设置 ,不 需要 重新 上 传 
整个 文件 ,修改 后 立即 生效 。 

(9) 配置 本 地 服务 器 程序 : 在 安装 前 对 G_Server. exe 进行 配置 (例如 是 否 将 动态 IP 发 
送 到 指定 信箱 、 改 变 监听 端口 以 及 设置 访问 口令 等 ) 

1) 使 用 “冰河 ”对 远程 计算 机 进行 控制 

在 一 台 目 标 主机 上 植 人 木马 , 即 在 此 主机 上 运行 
G_Server, 作 为 服务 器 端 ;在 男 一 台 主 机 上 运行 G_Client, 作 enem: fe cl 
为 控制 端 。 2. 112.253.135 | 

打开 控制 端 程序 , 单 击 快捷 工具 栏 中 的 添加 主机 按钮 ， 
弹出 如 图 12. 2 所 示 的 对 话 框 。 

显示 名 称 : 填 人 显示 在 主 界面 的 名 称 。 

主机 地 址 : 填 人 服务 器 端 主机 的 IP 地 址 。 


访问 口令 ; 填 和 人 每 次 访问 主机 的 密码 ,此 处 保留 空白 12 添加 计算 机 
即 可 。 


监听 端口 :“ 冰 河 ? 默 认 的 监听 端口 是 7626 ,控制 端 可 以 修改 它 以 绕 过 防火 墙 。 
单 击 “ 确 定 ” 按 钮 , 即 可 以 看 到 主机 面 上 添加 了 名 为 test 的 主机 ,如 图 12. 3 所 示 。 
这 时 单 击 test 主机 名 ,如 果 连 接 成 功 , 则 会 显示 服务 器 端 主机 上 的 盘 符 ,图 12. 3 显示 了 
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图 123 添加 主机 tet 


test 主机 内 的 盘 符 ,表示 连接 成 功 。 这 时 就 可 以 像 操 作 自 己 的 计算 机 一 样 操作 远程 目标 计 


算 机 ,比如 打开 C:\WINNT\ system32\ config 目录 可 以 找到 对 方 主机 上 保存 用 户口 令 的 
SAM 文件 。 


下 面 介 绍 “ 冰 河 ” 的 命令 控制 台 ,“ 冰 河 ” 的 大 部 分 功能 


是 在 这 里 实现 的 , 单 击 “ 命 令 控制 
台 ” 标 签 ,弹出 命令 控制 台 界 面 ,如 图 12.4 所 示 。 
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UE 


e TT 
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a 控制 类 命令 
aA 网 络 类 命令 
由 总 文件 类 命令 
aA 注册 表 读 写 


HA 设置 类 命令 


请 从 堪 侧 列表 中 选择 相关 命令 


| 共有 22 个 对 象 


图 124 命令 控制 全 


sh a cs 


可 以 看 到 ,命令 控制 台 分 为 口令 类 命令 .控制 类 命令 .网 络 类 命令 .文件 类 命令 .注册 表 
读 写 和 设置 类 命令 。 下 面 简单 介绍 几 个 命令 的 使 用 方法 。 

(1) 口令 类 命令 。 

展开 “口令 类 命令 ”, 如 图 12.5 所 示 。 
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开机 口令 缓存 口令 xune 


图 {25 口令 类 命令 


系统 信息 及 口令 : 可 以 查看 远程 主机 的 系统 信息 、 开 机 口令 和 缓存 口令 等 ,如 图 12. 5， 
单 击 “ 系 统 信息 ”及 口令 ,可 以 看 到 远程 主机 的 Windows 版 本 是 WINNT. 当前 用 户 是 
shiyanshi, 物 理 内 存 容量 是 267MB, 除 此 之 外 ,还 可 以 看 到 非常 详细 的 远程 主机 信息 ,这 就 
无 异 于 远程 主机 彻底 暴露 在 攻击 者 面前 。 

历史 口令 : 可 以 查看 远程 主机 以 往 使 用 的 口令 。 

击 键 记录 : 启动 键盘 记录 后 ,可 以 记录 远程 主机 用 户 击 键 记 录 , 以 此 可 以 分 析出 远程 主 
机 的 各 种 账号 和 口令 或 各 种 秘密 信息 。 

(2) 控制 类 命令 。 

展开 “控制 类 命令 ”, 如 图 12.6 所 示 。 

捕获 屏幕 : 这 个 功能 可 以 使 控制 端 使 用 者 查看 远程 主机 的 屏幕 ,好 像 远 程 主机 就 在 自 
己 面 前 一 样 ,这 样 更 有 利于 窃取 各 种 信息 , 单 击 “ 查 看 屏幕 ”按钮 ,然后 就 弹出 了 远程 主机 的 
屏幕 ,如 图 12.7 所 示 。 

可 以 看 到 ,远程 主机 屏幕 上 的 内 容 就 显示 在 本 机 上 ,显示 内 容 不 是 动态 的 ,而 是 每 隔 一 
段 时 间 传 来 一 幅 。 

发 送信 息 : 这 个 功能 可 以 使 控制 者 向 远程 计算 机 发 送 Windows 标准 的 各 种 信息 。 

在 “信息 正文 ”中 可 以 填 人 要 发 给 对 方 的 信息 ,在 图 表 类 型 中 ,可 以 选择 “普通 ”“ 和 警告 ”、 
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文件 [F] ”编辑 [E] 


数据 流 接收 完毕 


图 127 捕获 远程 主机 屏幕 


“进程 管理 ”: 这 个 功能 可 以 使 控制 者 查看 远程 主机 上 所 有 的 进程 ,如 图 12. 8 所 示 。 
单 击 “查看 进程 ?按钮 ,就 可 以 看 到 远程 主机 上 存在 的 进程 ,甚至 还 可 以 终止 某 个 进程 ， 
只 要 选中 相应 的 进程 ,然后 单 击 “ 终 止 进程 ?按钮 就 可 以 了 。 
窗口 管理 : 可 以 对 远程 主机 上 的 窗口 进行 刷新 .最 大 化 、 最 小 化 .激活 和 隐藏 等 操作 。 
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数据 流 接收 完毕 
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系统 管理 : 可 以 对 远程 主机 进行 关机 、 重 起 .重新 加 载 冰河 .自动 全 载 冰河 等 操作 。 
鼠标 控制 : 可 以 将 远程 主机 上 的 鼠标 锁定 在 某 个 范围 内 。 

其 他 控制 : 可 以 对 远程 主机 进行 自动 拨号 禁止 .桌面 隐藏 .注册 表 锁 定 等 操作 。 

(3) 网 络 类 命令 。 

展开 “网 络 类 命令 ”, 如 图 12.9 所 示 。 


| 
文件 [F] (RIE ”设置 [6] ABH) 


aC OR 
当前 连接 : test 可 aof aane: 应用 加 


= 文件 管理 器 名 命令 控制 台 | 


口令 类 命令 $ L 
I-A S ae 
DA 网 络 类 命令 MP 【未知 ] (C. \WINNT) “远程 管理 
o ARs t DEM] C) NUES 
e Nim n ———U——MÁ 
@ 网 络 信息 
DA 文件 类 命令 
m C 注册 表 读 写 
HA 设置 类 命令 


CSC Notifications Window 
源 表 


Connections Tray 

DDE Server Window 
SYSTEM AGENT COM WINDOW 
MM Notify Callback 

IMS Webchecklloni tor 


ses 


129 网 络 信息 


创建 共享 : 在 远程 主机 上 创建 自己 的 共享 。 
创建 共享 时 , 先 在 图 12. 10 中 方 框 的 位 置 输入 路 径 和 共享 名 。 
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在 创建 共享 后 ,再 查看 网 络 信息 项 ,多 出 一 项 磁盘 共享 ,同时 在 对 方 主机 上 可 以 看 到 
WINNT 文件 夹 有 共享 标记 ,如 图 12. 11 所 示 。 
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图 1211 共享 前 后 的 变化 


删除 共享 : 在 远程 主机 上 删除 某 个 特定 的 共享 时 , 单 击 * 删 除 共 享 ”, 输 入 共享 名 , 即 可 
删除 该 共享 。 

网 络 信息 : 查看 远程 主机 上 的 共享 信息 , 单 击 “查看 共享 ”按钮 ,可 以 看 到 远程 主机 上 的 
IPC $ ,C$ , ADMIN $ 等 共享 和 刚刚 建立 的 thday 共享 ,如 图 12. 12 ras. 

(4) 文件 类 命令 。 

展开 “文件 类 命令 ”其 下 面 的 “文本 浏览 *"“ 文 件 查 找 ”“ 文 件 复制 ”“ 文 件 压 缩 ”、 
删除 ”“ 文 件 打 开 ” 等 ,可 以 查看 、 查 找 、 压 缩 、 复 制 . 删 除 、 打 开 远 程 主机 上 的 某 个 文件 。* 
录 增 删 ”" 和 “目录 复制 ”可 以 增加 、 删 除 、 复 制 远程 主机 上 某 个 目录 。 
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D 搜索 此 计算 机 的 文件 (5) 
d Internet) 


图 1212 网 上 邻居 显示 的 新 建 共享 


例如 ,在 目标 机 的 C 盘 上 建立 1. txt 文件 ,然后 单 击 * 冰 河 ” 文 本 浏览 选项 ,输入 文件 名 
c:\1. txt, 再 单 击 “快速 查看 ?按钮 ,如 图 12. 13 所 示 。 
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图 1213 浏览 目标 机 上 的 文件 


(5) 注册 表 读 写 。 
展开 “注册 表 读 写 ”, 其 下 提供 了 “ 键 值 读 取 ”“ 键 值 写 和 人”“ 键 值 重 命 名 ”、“ 主 键 浏览 ”、 
“主键 增加 ”和 “主键 复制 ”等 功能 。 
各 功能 的 界面 如 图 12. 14 至 图 12. 19 所 示 , 其 主要 功能 就 是 删除 修改、 增加 表 项 和 
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ee — 
ws[ e ames] 


图 1214 读 取 键 值 
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图 26 重 命名 主键 
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图 1219 浏览 键 值 


(6) 设置 类 命令 。 

展开 “设置 类 命令 ”, 其 下 提供 了 “更 换 墙纸 ”“ 更 改 计算 机 名 ”和 “服务 器 端 配置 ”( 见 图 
12. 20) 的 功能 。 

通过 命令 控制 台 ,就 可 以 完全 控制 一 台 远 程 主机 ,查看 和 寻找 所 需 的 任何 信息 ,所 以 森 
马 的 危害 是 极其 巨大 的 。 

2) 删除 “冰河 ”木马 

删除 “冰河 ”木马 主要 有 以 下 几 种 方法 。 

CL) 客户 端的 自动 印 载 功 能 

在 “控制 类 命令 ”中 的 “系统 控制 "里 就 有 自动 卸载 功能 ,执行 这 个 功能 ,远程 主机 上 的 木 
马 就 自动 印 载 了 。 
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ETTUIE-ER-C BH ok 


| 当前 连接 : [50.64 =] mo: Ror — sume: 应 用 [sl 


ete: SYSTEM? 
e 系统 信息 及 口令 | | ean 


: Windows | 


Oh as 


数据 类 型 未 知 ， 无 法 污 取 | 


Dekaoororeaoobooaaaoaoniaaoooaaaaoaonaaooornoaooaaaooplornaaooornaaooboordaaaoora | 


读 职 服务 器 配置 修改 服务 器 配置 


e 更 改 计算 机 名 


图 1920 显示 服务 器 配置 


(2) FARR. 

这 是 本 实验 主要 介绍 的 方法 ,这 是 因为 在 实际 情况 中 木马 客户 端 不 可 能 为 木马 服务 器 
端 自动 印 载 木马 。 在 发 现 计 算 机 有 异常 情况 时 (比如 经 常 自动 重启 、 密 码 信 息 泄 漏 、 桌 面 不 
正常 时 ) ,就 应 该 怀疑 是 否 已 经 中 了 木马 ,这 时 应 该 查看 注册 表 , 在 “开始 ”的 “运行 "里 面 输入 
regedit, 打 开 Windows 注册 表 编 辑 器 。 依 次 打开 子 键 目录 HKEY_LOCAL_MACHINE\ 
SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 如 图 12. 21 所 示 。 


[NES ELTE 
EMR) REE) 查看 WV) BEE TREND 
(£3 Extensions 数据 


3 Extshelviews C:\WINNT\system32\Kernel32,exe 
3 Group Policy C:\WINNT\avserve2.exe 
C3 H323TSP C:AWINNT\¢esrss.exe 


C3 Installer 
C:\Program Filesyundl32.exe 
(Z3 Internet Settings 


= rie oc C:\Program Files rising. fwAR.fw,exe 


C3 IPconMsp fat}synchronization M... mobsync.exe flogon 
C3 IPconfrsP 
Ca McD 
3 MediaContentinc 
C3 ModuleUsage 
C3 MS-DOS Emulatk 
C3 Netcache 
Ea Ns 
3 policies 
E Relabiity 
Run 
{Gy Runonce 
C3 RunonceEx 
C3 Runservices 
Gi setup 
C3 SharedDLLs 
3 Shel Extensions 


(£3 eror 
| » 


FER AEB ARKEY LOCAL, MACHINEXSOFTWARE \Microsoft\ Windows \CurrentVersion\Run 


图 122 注册 表 Rn 子 键 目录 
。344 。 


在 目录 中 发 现 了 一 个 默认 的 键 值 C:\WINNT\system32\kernel32. exe, 这 就 是 “冰河 ” 
木马 在 注册 表 中 加 入 的 键 值 , 将 它 删 除 。 

再 打开 子 键 目 录 HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft \ Windows 
CurrentVersion\RunServices, {Al 12. 22 所 示 。 


TT lx 
EMER) REE BSW) BEE EBD) 
(C3 Extensions 生 | | fk 类 型 数据 


E3 Extshelviews REG SZ C:AWINNT\system 32Wernel32.exe 
[ab]csrss 修改 (M) | SZ C:\WINNT\csrss.exe 
ERE 


ta Group Policy 
C3 H323TSP 
C3 Installer 
E Internet Settings 
(3 IntiRun 
C3 IntiRun.oc 
3 IPConfMsP 
C3 IPConfTsP 
C3 Mcp 
(Z3 MediaContentinc 
(a ModuleUsage 
53 MS-DOS Emulati 
{È NetCache 
CA Ns 
3 policies 
3 Reliability 
由 gc Run 
C3 Runonce 
(53 RunonceEx 
£x Runservices 
E-E Setup 
(3 SharedDLLs 
(Z3 Shell Extensions 


&-C3 zoll | 


A A 


图 1220 注册 表 RunSevices 子 键 目 录 


在 目录 中 也 发 现 了 一 个 默认 的 键 值 C:\WINNT\system32\kernel32. exe, 这 也 是 “ 冰 
河 ? 木 马 在 注册 表 中 加 入 的 键 值 , 将 它 删 除 。 上面 两 个 注册 表 的 子 键 目录 Run 和 
RunServices 中 存放 的 键 值 是 系统 启动 时 自动 启动 的 程序 ,一 般 病 毒 程序 .木马 程序 和 后 门 
程序 等 都 放 在 这 些 子 键 目录 下 ,所 以 要 经 常 检查 这 些 子 键 目录 下 的 程序 ,如 果 有 不 明 程 序 ， 
要 着 重 进行 分 析 。 

接 下 来 中 断 木马 进程 。 进 入 任务 管理 器 ,结束 正在 运行 的 kernel32. exe, MPA 12. 23 
所 示 。 

后 进入 C:\WINNT\system32 目录 ,找到 “冰河 ”木马 的 两 个 可 执行 文件 kernel32. 

exe 和 Sysexplr. exe 文件 ,将 它们 删除 ,如 图 12. 24 所 示 。 

修改 文件 关联 也 是 木马 常用 的 手段 “冰河 ”木马 将 txt 文件 的 默认 打开 方式 由 
notepad, exe 改 为 木马 的 启动 程序 , 除 此 之 外 ,html、exe、zip、com 等 也 都 是 木马 的 目标 。 所 
以 ,在 最 后 需要 恢复 注册 表 中 的 txt 文件 关联 功能 ,只 要 将 注册 表 的 HKEY_CLASSES_ 
ROOT\txtfile\ shell\ open\ command 下 的 默认 值 由 中 木马 后 的 C:\Windows\system\ 
Sysexplr. exe 961 改 为 正常 情况 下 的 C:\Windows\notepad. exe %1 即 可 ,如 图 12. 25 
所 示 。 
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S windows 芷 务 管理 器 


svchost. exe 


msdtc. exe 
svchost. exe 


inetinfo. exe 
dfssvc. exe 
explorer. exe 


streamcidi strmdidi subrange... subroum.. subst.exe 


o à & 四 四 


svchost.. svepack.dl syncapp.... synceng.di syncuid 


kbdus\dl kbdusr,dl kbdusx.dl| 
修改 时 间 ; 2000-4-21 16:08 


大 小 : 260 KB 4 y 国 (e) (e) 
s 属性 : Rik, 系统 di KERNEL3... keyOLsys keyboard. | 
创建 时 间 ; 2004-12-11 13:26 3 创建 时 间 : 2004-12-11 13:26 
| in 时间: 2004-12-11 0:00 类 型: 应 用 程序 访问 时 间 : 2004-12-11 0:00 ) ia mam L3 
: | zm bo 

所 有 者 ; Everyone 所 有 者 : Everyone . koreanuce KRNL396,,  krri386 


图 1224 Syseqree 文 件 和 kand® ee 文件 


最 后 ,重新 启动 主机 即 可 ,这 样 就 把 “冰河 ”木马 彻底 删除 了 。 

CD 杀毒 软件 查 杀 。 

大 部 分 杀毒 软件 都 有 查 杀 木马 的 功能 ,可 以 通过 这 个 功能 对 主机 进行 全 面 扫描 来 去 除 
木马 。 

2.“ 广 外 男生 ”的 使 用 

“ 广 外 男生 ”是 广 外 程序 员 网 络 小 组 制作 的 远程 控制 以 及 网 络 监控 工具 。 它 采用 了 “ 端 
口 反弹 ”和 "线程 插入 ”技术 ,可 以 有 效 逃 避 防 火 墙 对 木马 程序 的 拦截 。 

1)“ 广 外 男生 ”的 客户 端 和 服务 器 端的 配置 和 连接 

(1) 打开 “ 广 外 男生 ”的 主 程序 ,界面 如 图 12. 26 所 示 。 

(2) 进行 客户 端 设 置 。 选 择 菜单 “设置 ”一 客户 端 设 置 ?命令 ,弹出 客户 端 设 置 界面 ,如 
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{Œ Defaulticon 
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2B 恢复 以 文件 关联 功能 


[E GwBoy 0.92 Alpha by Programming Group of GDUFS [GwGirls] 2003 Ani xi 


设置 (F) 关于 (A) 


mele FILE |S 区 | 


远程 注册 表 
进程 与 服务 


远程 桌面 


m 
a 
=) 
fu 
可 | 


"m GWBo 


125 个 外 男生 ” 主 界面 


图 12.27 Bras ,在 窗口 中 可 以 看 到 它 采 用 “反弹 端口 十 线程 插入 技术 ”的 提示 。 
在 “客户 端 最 大 连接 数 ” 中 填 入 允许 多 少 台 客户 端 主机 来 控制 服务 器 端 ,注意 不 要 填 信 
太 大 的 数字 ,否则 容易 造成 服务 器 端 主机 死机 。 在 “客户 端 使 用 端口 ?中 填 人 服务 器 端 连接 
到 客户 端的 哪个 端口 ,这 是 迷惑 远程 服务 器 端 主机 管理 员 和 防火 墙 的 关键 , 填 人 一 些 常用 的 
端口 ,会 使 远程 主机 管理 员 和 防火 墙 误 以 为 连接 的 是 一 个 合法 的 程序 。 比 如 使 用 端口 80， 
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i | 


27 客户 端 设置 


就 会 使 管理 员 以 为 自己 连接 在 远程 的 Web 服务 器 上 。 选 择 “ 只 允许 以 上 地 址 连接 ”选项 ,使 
客户 端 主 机 IP 地 址 处 于 默认 的 合法 控制 IP 地 址 池 中 。 

(3) 单 击 “ 下 一 步 ”按钮 ,设置 木马 的 连接 类 型 ,弹出 如 图 12. 28 所 示 的 对 话 框 。 
广 外 男生 客户 端 设置 程序 


BGUBou eur cier 
反弹 端口 + 线程 插入 技术 


$ 


cCw3020053 


图 128 设置 连接 类 型 


连接 类 型 有 两 种 ,一 是 “使 用 HTTP 网 页 IP 通知 ”, 二 是 “客户 端 处 于 静态 IP( 固 定 
IP 地 址 )”。 本 试验 选择 第 二 项 。 

单 击 “ 下 一 步 ” 按 钮 ,显示 出 完成 设置 的 对 话 框 ,点 击 “ 完 成 ”就 结束 了 客户 端的 设置 。 

OD 进行 服务 器 端 设 置 。 选 择 菜 单 “设置 ”>“ 生 成 服务 器 端 ” 命 令 , 这 时 ,会 弹出 “ 广 外 
男生 ”服务 器 端 生成 向 导 , 直接 单 击 “ 下 一 步 ” 按 钮 ,弹出 如 图 12. 29 所 示 的 常规 设置 界面 。 

在 “EXE 文件 名 ”和 “DLL 文件 名 ”中 填 人 加 载 到 远程 主机 系统 目录 下 的 可 执行 文件 和 
动态 链接 库 文件 ,在 “注册 表 项 目 ” 中 填 入 加 载 到 远程 主机 注册 表 中 的 Run 目录 下 的 键 值 
名 。 这 些 文件 名 都 是 相当 重要 的 ,因为 这 是 迷惑 远程 主机 管理 员 的 关键 所 在 ,如 果 文 件 名 起 
得 非常 有 隐蔽 性 ,比如 sysremote. exe, sysremote. dll, 那 么 就 算 管 理 员 发 现 了 这 些 文件 ,也 
不 知道 这 些 文件 可 能 就 是 木马 文件 。 
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GWBoy 2003 
反弹 端口 + 线程 插入 技术 


1020 常规 设置 选项 


注意 ; 把 “服务 端 运 行 时 显示 运行 标识 并 允许 对 方 退 出 "前面 的 对 钓 去 掉 , 否 则 服务 器 
端 主 机 的 管理 员 就 可 以 轻易 发 现 自己 被 控制 了 。 


图 2D 网 络 设置 


由 于 前 面 选择 的 是 “客户 端 处 于 静态 IP”, 所 以 此 处 选择 “静态 IP” 选 项 ,在 “客户 端 IP 
地 址 ”中 填 人 入 侵 者 的 静态 TP 地 址 ,“ 客 户 端 用 端口 *" 填 人 在 客户 端 设置 中 选择 的 连接 端口 。 

(6) 单 击 “ 下 一 步 ” 按 钮 ,弹出 生成 文件 的 界面 ,如 图 12. 31 所 示 。 

在 “目标 文件 ”中 填 入 所 生成 的 服务 器 端 程 序 的 存放 位 置 ,如 E:\gwboy092A\hacktest. 
exe, 这 个 文件 就 是 需要 植 入 远程 主机 的 木马 文件 。 单 击 “ 完 成 ”按钮 即 可 完成 服务 器 端 程序 
的 设置 ,这 时 就 生成 了 一 个 名 为 hacktest. exe 的 可 执行 文件 。 

(7) 在 目标 主机 上 执行 木马 程序 hacktest. exe. 当然 在 实际 情况 中 , 想 在 远程 主机 中 植 
和信 木马 程序 是 很 复杂 的 事情 ,这 涉及 社会 工程 学 .文件 伪 装 等 技术 。 由 于 采用 了 反弹 端口 技 
AR ,在 服务 器 端 主机 上 执行 木马 程序 后 ,客户 端 主机 只 需 等 待 服务 器 端 主机 主动 连接 ,过 了 
一 段 时 间 后 ,客户 端 主机 “ 广 外 男生 ”显示 界面 如 图 12. 32 所 示 ,表示 连接 成 功 。 

这 时 ,就 可 以 和 使 用 第 二 代 木 马 “ 冰 河 ” 一 样 控 制 远程 主机 ,主要 的 控制 选项 有 “文件 共 
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图 123» 连接 成 功 界面 


享 "“ 远 程 注册 表 ”、“ 进 程 与 服务 ”和 “远程 桌面 "等 。 

2)“ 广 外 男生 ”的 检测 

CD 由 于 使 用 了 “线程 插入 ”技术 ,所 以 在 Windows 系统 中 采用 任务 管理 器 查看 线程 是 
发 现 不 了 木马 的 踪迹 的 ,只 能 看 到 一 些 正常 的 线程 在 运行 ,所 以 本 实验 要 使 用 两 个 强大 的 工 
H Fport fll PreView, Fport 是 第 三 方 提供 的 一 个 工具 ,可 以 查看 某 个 具体 的 端口 被 哪个 进 
程 所 占用 ,并 能 查看 PID。PrcView 是 线程 查看 工具 ,功能 非常 强 ,可 以 利用 它 查 看 进程 中 
有 哪些 动态 链接 库 在 运行 ,这 对 于 检测 插入 在 某 个 正常 的 进程 中 的 线程 是 非常 有 用 的 。 

(2) 在 服务 器 端 主 机 上 选择 “开始 ”一 “运行 ”, 输 入 cmd, 进 入 命令 行 提示 符 状态 ,输入 
netstat -an, 查 看 网 络 端 口 占 用 状态 ,如 图 12. 33 所 示 。 

在 显示 的 结果 中 , 反 白 的 部 分 可 以 看 到 一 个 可 疑 的 IP 地 址 (就 是 客户 端的 IP 地 址 ) 与 
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选 定 C:\WINDOWS\system32\cmd.exe 


C:\Documents and 


Active Connections 


LISTENING 

ESTABLISHED 
ESTABLISHED 
ESTABLISHED 
ESTABLISHED 


UDP 
UDP 


2B 查看 网 络 状态 


意 的 地 方 , 记 住 本 机 用 于 连接 的 端口 号 1044、1045、1046 


(3) 接着 在 提示 符 
如 图 12. 34 所 示 。 


-四 
四 


SP/IP Process to Port Mapper 
ight 2080 by Foundstone, I 
‘www. foundstone.com 


要 在 有 fport. exe 的 目录 中 运行 fport) ,显示 结果 


Proc Port Proto Path 
gwbo yl 96 C tool*hac 
135 
139 
445 
Explorer : WINDOWS NExplorer.EXE 
Explorer = WINDOWS NExplorer.EXE 


Explorer = WINDOWS NExplorer.EXE 
Explorer : WINDOWS NExplorer.EXE 


Explo 


who y892 -exe 


gwho y892 38 UD ?: \too sho y892 Ngubo yB92 . 


QA 查看 进程 占用 端口 情 ; 


在 显示 结果 中 ,找到 端口 号 1044, 1045, 1046 和 1047. 发 现 木马 插入 的 进程 是 
Explorer. EXE, 记 住 此 进程 的 PID 号 2040, 

(4) 在 Windows 下 双击 运行 PreView. #4 Ø Explorer. EXE 中 运行 的 动态 链接 库 , 方 
法 是 右 击 Explorer. EXE, 在 快捷 菜单 中 选择 “模块 ”命令 ,显示 结果 如 图 12. 35 所 示 。 
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Windows Explorer 6.00.2900.2180. (C) Microsoft 


C:AWINDOWS\system32\browselc.cll 
C:\WINDOWS\system32\BROWSEUT. dll 
C:AWINDOWS\system32\CLBCATQ.DLL 
C:\WINDOWS\system32\comctl32.dll 
C:\WINDOWS\WinSxS\x86_Microsoft. Wind 
C:WINDOWS|system32\comdlg32.ll 
C:\WINDOWS\system32\COMRes.dll 
C:\WINDOWS\system32\credui.dll 
C:AWINDOWS\system32\CRYPT32.dll 
C:\WINDOWS|system32\CRYPTUL dll 
C:AWINDOWS|System32\CSCDLL. dll 
C:\WINDOWS|System32\cscul. cl 
C:\WINDOWS\System32\davcint. dl 
C:\WINDOWS|System32\drprov dil 
Ci \WINDOWS\systenS2}DUSER, dii 
C:\WINDOWS\Explorer.EXE 
C:\WINDOWS\System32\Wbem\framedyn. 
wooo e 
:\WINDOWS| 


C:AWINDOWS\system32\hookdll, E 

C:\WINDOWS\system32\IMAGEHLP dil 

C:\WINDOWS\system32\IMM32.DLL 

C:\WINDOWS\system32\iphlpapi, dl 

C:\PROGRA~1\FlashGet\jccatch dll 
WINDOWS\systema2\kernel32.dll 
WINDOWS\system32\LINKINFO. dil 

ste 


图 1235 查看 动态 链接 库 


在 众多 的 动态 链接 库 文件 中 ,木马 的 DLL 文件 gwboydll. dll 在 实际 情况 中 是 可 以 改变 
的 ,所 以 一 定 要 仔细 检查 ,看 是 否 有 可 疑 文件 ,查看 时 可 以 找 一 台 正 常 的 主机 进行 对 比 。 

(5) 为 查看 木马 gwboydll. dll 是 否 还 插入 了 其 他 的 进程 ,选择 进程 查看 器 的 “查看 ”一 
“模块 使 用 情况 ”命令 ,显示 结果 如 图 12. 36 所 示 。 

在 显示 结果 中 发 现 ,木马 插入 了 两 个 进程 ,除了 Explorer. EXE 之 外 还 有 一 个 进程 。 根 
据 程序 基地 址 的 位 置 ,可 以 知道 图 上 第 二 个 gwboydll. dll 为 Explorer. EXE 的 进程 。 而 为 
确定 另 一 个 gwboydll. dll 的 进程 ,在 此 DLL 文件 上 双击 (如 图 12. 37 所 示 ), 出 现 了 
cena asin d MUN ctfmon. exe, 这 是 木马 的 高 级 之 处 ,如 果 一 个 进 
FEMA , 另 一 个 进程 还 会 运行 并 且 立 即 再 在 其 他 进程 中 插 和 人 木马 文件 。 

3) 手动 删除 * 广 外 男生 ”木马 

“ 广 外 男生 ?木马 除了 可 以 采用 防 病毒 软件 查 杀 之 外 ,还 可 以 通过 手动 方法 删除 ,有 具 体操 
(EE Sean. 

CD 选择 “开始 ”一 运行 ”, 输 入 regedit 进入 注册 表 , 展 开 HKEY_LOCAL_MACHINE\ 
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run 子 键 目录 ,在 里 面 找 到 木马 自 启 
动 文件 ,将 其 删除 ,如 图 12. 38 所 示 。 

在 实际 情况 中 ,这 个 文件 名 是 可 以 改变 的 ,应 该 在 Run 目录 下 仔细 检查 是 否 有 可 疑 文 
件 , 对 可 疑 文件 进行 删除 ,注意 删除 之 前 先 做 好 注册 表 的 备份 。 

(2) 进入 C:\WINNT\system32 文件 夹 下 , 按 文件 大 小 进行 排列 ,寻找 116KB 的 文件 ， 
如 图 12. 39 所 示 。 
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OME HI Ta 06 


6c520000 — 315392 
69000000 118784 
69040000 286720 
76820000 266240 
5df20000 1073152 
75270000 258048 
76ce0000 ^ 69632 
01000000 987136 
03330000 

755f0000 

372e0000 

37320000 

373f0000 

695d0000 

77ef0000 

39800000 1777664 
4ae90000 1716224 
00400000 1306624 
00b60000 241664 
D2fa0000 241664 
57a30000 282624 
68be0000 ^ 36864 
57a20000 ^ 40960 
60fd0000 — 348160 
023c0000 ^ 77824 
10000000 ^ 77824 
67860000 36864 
51550000 200704 
741f0000 16384 
76c60000 163840 
10000000 290816 
76300000 118784 
3b030000 692224 
55430000 1146880 
Da770000 512000 
57al0000 32768 
76d30000 ^ 98304 
66700000 335872 
74340000 — 192512 
D14b0000 ^ 65536 
71c70000 307200 
7c800000 1163264 
57a00000 45056 
76950000 — 32768 
74ba0000 ^ 24576 


C:APROGRA~1\COMMON~1\SYMANT~1\YIRUSD~1\20C 
c:\windows\system32\es.dll 
c:\windows|system32\ESENT.dll 
C:\WINDOWS|System32\Wbem\esscli.dll 
C:\WINDOWS\system32\eventlog, dil 
C:\WINDOWS\Explorer.EXE 

C:\Program Files\Adobe\Photoshop 7.0\Plug-Ins\Adobe. 
C:\WINDOWS\system32\wbem\Fastprox.dll 
C:APROGRA~1\COMMON~1 \MICROS~1\SMARTT~1\FD 
CAPROGRA~1\COMMON~1 \MICROS~1\SMARTT~1\FN, 
C:]PROGRA~1\COMMON~1 \MICROS~1\SMARTT~1\FP 
C:\WINDOWS\System32\Wbem\framedyn.dil 
C:\WINDOWS\system32\GDI132. dll 

C:\Program Files\Microsoft Office\OFFICE1 1\GdiPlus.DLI 
C:\WINDOWS\WinSxS\x86_Microsoft, Windows, GdiPlus | 


C:\WINDOWS\system32\gwboydll dll 
C:\WINDOWS|system32\gwboydll dll 
CHWINDOWSISystem321h323.tsp 
C:\WINDOWS\System32\HID.DLL 
C:\WINDOWS\System32\hidphone. tsp 


C:\WINDOWS\system32\hookdll.dll 
CAWINDOWSISystem32lHTTPAPI. dil 
C:\Program Files\Symantec Antivirus\I2Idvp3.cll 
C:\WINDOWS\System32\icmp.dll 
C:\WINDOWS\system32\IMAGEHLP. dll 
C:\Program Files\Symantec Antivirus\IMail.dil 
C:AWINDOWS\system32\IMM32.DLL 
C:\WINDOWS\system32\IMSC404..IME 
C:\Program Files\Common Files\Microsoft Shared\INK\IN 
C:APROGRA~1\COMMON~1\MICROS~1\SMARTT~1\IN" 
C:\WINDOWS\System32\ipconF.tsp. 
C:\WINDOWS\system32\iphipapi.dil 
c:\windows\system32\ipnathip.dil 
C:\WINDOWS\system32\ipsecsvc.dll 
OGRA~1\FlashGet\jccatch.dil 
C:\WINDOWS\system32\kerberos. dll 
C:\WINDOWS\system32\kernel32. dll 
C:\WINDOWS\System32\kmddsp.tsp 
C:\WINDOWS\system32\LINKINFO. dll 
:\windows\system32\Imhsvc.dil 
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图 1236 查看 插入 的 进程 


进程 查看 器 -- gwboydll. dil 
SE) BBW) HEE MAHD 


A 1237 木马 插入 的 另 一 进程 dimmee 
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ET TT CT uini 
注册 表 (R) 编辑 (E) BSW) WARE) 帮助 (H) 


{9 ModuleUsage 数据 
(C3 MS-DOS Emulatic i (数值 未 设置 ) 

(3 NetCache “C:\Program Files\SlySoft}Clone 
- id : C:\PROGRA~1\COMMON~1\MI 
a eae C:\Program Files|k¥2005\KVMo 
= Ben xd [ab] SkYNET Personal ... C:PROGRAW1\SKYNETIFIREW 

C3 Runonce [B] Super Rabbit SRR... REG SZ D: FF magicset\SRRest.exe 

四 男生 启动 项 REG SZ jwboy.exe 

(C3 RunOnceEx B 广 外 男生 启动 项 qub 

C3 runServices RM) 

C3 Setup 
(C3 SharedDLLs 重 命 名 (R) 


(C Shell Extensions 
(C3 ShellCompatibility, 
C3 shellscrap 

a Setsericeote | 
(C3 stilllmage 
(C3 Syncmar 
(CJ Telephony 


£ uninstall 
mA ue »f 
a E 


[BRAS FRRHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
2B 删除 注册 表 中 木马 文件 


| xO MEO SEW ELT IAD Eho 
| eRe - > - |ar| ur gre [03 K A |E 
| sitio [71 sac -] osa es Jdem SE. Ons 


L1 m imgscan.ocx Activex 控件 2000-1-10 12:00 
@ iexpress 应 用 程序 2000-1-10 4;00 
system32 E mplaysz 应 用 程序 2000-1-10 12:00 
[>] oledig. dil 应 用 程序 扩展 2000-1-10 4:00 
2 个 选 定 的 项 目 。 Brasadmin 应 用 程序 2000-1-10 4;00 
应 用 程序 2005-1-24 2:16 
总 计 文 件 大 小 ; 236,544 FP B 应 用 程序 扩展 2005-1-23 10:25 
gwboydlldl [e] gptext.dil 应 用 程序 扩展 2003-6-19 12:05 
gwboy [s] mssTOFMT.DLL 应 用 程序 扩展 2000-5-23 22:45 
GAanaoctraceroute 应 用 程序 
[e] mmutilse. dil 应 用 程序 扩展 1 
[e] salstr.dii 应 用 程序 扩展 2001-5-4 4:05 
[9] netapi.dll 应 用 程序 扩展 2000-1-10 4:00 
四 gusz.dl 应 用 程序 扩展 2000-1-10 4:00 
EE imstask 应 用 程序 2003-6-19 12:05 
I ird c dil uaren 应 田 程 应 坟 屋 2000.11. al 


Bie eam 
A 2D 搜索 木马 文件 


在 这 些 文件 中 找到 修改 时 间 离 现在 比较 近 的 文件 ,一 般 这 就 是 最 近 所 添加 的 文件 ,如 
图 12. 39 中 的 gwboy. exe 和 gwboydll. dll, 因 为 这 两 个 文件 名 可 以 改变 ,所 以 采用 这 用 方法 
搜索 可 以 比较 容易 地 找到 木马 文件 ,将 gwboy. exe 文件 删除 。 

G) 在 注册 表 中 ,选择 菜单 “编辑 ”一 “查找 ”命令 ,查找 文件 名 为 gwboydll. dll 的 文件 ， 
找到 后 将 相关 的 注册 表 项 全 部 删除 ,如 图 12. 40 所 示 。 

(4) 重新 启动 主机 , 按 FS 键 进入 带 命 令 行 提示 的 安全 模式 ,再 进入 C:\WINNT\ 
system32 中 ,输入 del gwboydll. dll 删除 木马 的 动态 链接 库 文件 ,至 此 就 彻底 把 木马 文件 清 
除了 。 

3. 木马 的 防范 

木马 的 危害 性 是 显而易见 的 ,通过 以 上 实验 知道 了 木马 的 攻击 原理 和 隐身 方法 ,就 可 以 
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Hex 
注册 表 (R) 编辑 (E) BSW) KEDO 帮助 (由 

C] {ac3clb17-e59d-11d2-b40b-00a024b9dddd} EIE: 数据 

C] {8C4E6103-516F-11D1-A6DF-006097C4E476} m quiboydll.di 

C] 48C7461EF-2B13-11d2-BE35-3078302C2030) [aB] ThreadingModel REG SZ Apartment 

C] 48C758294-9351-11d1-9D14-00600880E5CA) = 

C] {8C7866E0-1002-43FA-8896-A24DDD521F64} 

C] {8C7866E3-1C02-43FA-8896-A24DDD521F 64} 

C] {8C836AF9-FFAC-11D0-8ED4-00C04FC2C17B} 

C] (8CAE96B7-85B1-4605-B23C-17FF52628296) 

B-E 48D17F24C-7FSB-11D2-7F63-00000000001C 

Im Hinprocserver32. 

C] 48D2AB6C2-906C-49ED-A758-751D6823713C) - 

GQ 48D4804E1-1331-11d0-8188-00CO4FD85AB4)- 

由 - 国 48D50ED77-F930-4DAA-B282-15374889E271)- 

C] 48D91090E-8955-11D1-ADCS-006008A5848C] 

C] 48DB2180F-BD29-11D1-887E-00CO4FD7A924) 

(QQ) {8006C641-98CB-11D1-9846-00A024CFEFED} 

C] (8E17FFF3-CSBA-11D1-8D8A-0060088F38C8) 

C 48E26BFC1-AFD6-11CF-BFFC-00AAQ03CFOFC) 

C] 48E27C928-1264-101C-8A2F-040224009C02)- 

C] M8E27C92F-1264-101C-8A2F-040224009C02) 

C] (8E3867A3-8586-11D1-B16A-00COF0283628) 

C] (8E6EG079-0CB7-11d2-8F10-0000F87ABD16) 

C] (8E718888-423F-11D2-876E-00A0C9082467) 

(QQ) (8E71888-423F-11D2-876E-00A0C9082467) v 
4 »f 


[BRA EERMET\HKEY_CLASSES_ROOT\CLSID\{8017F24C-7FSB-11D2-7FES-OODD0000001CHInprocServer32 Z7 
1240 删除 注册 表 中 的 相关 选项 


采取 措施 对 其 进行 防御 了 ,主要 方法 有 以 下 几 种 : 

CD 提高 防范 意识 ,不 要 打开 陌生 人 传 过 来 的 可 疑 邮件 和 附件 ,即使 是 熟人 也 要 确认 来 
信和 的 源 地 址 是 否 可 信 。 

(2) 如 果 网 速 变 得 很 慢 ,这 是 因为 和 人 侵 者 使 用 的 木马 抢占 带宽 。 这 时 可 以 双击 任务 栏 
右 下 角 的 连接 图 标 , 仔 细 观 察 一 下 “已 发 送 字 节 ? 项 ,如 果 数 字 比 较 大 ,比如 1 一 3kbps, 几 乎 
可 以 肯定 有 人 在 下 载 自己 的 硬盘 文件 ,除非 自己 正在 使 用 FTP 等 协议 在 进行 文件 传输 。 

(3) 查看 本 机 的 连接 ,在 本 机 上 通过 netstat -an( 或 第 三 方程 序 ) 查 看 所 有 的 TCP/UDP 
连接 , 当 有 某 些 IP 地 址 的 连接 使 用 不 常见 的 端口 (一 般 端 口号 大 于 1024) 与 主机 通信 时 ,对 
这 一 连接 就 需要 进一步 进行 分 析 。 

(4) 木马 可 以 通过 注册 表 启 动 ,所 以 可 以 通过 检查 注册 表 来 发 现 木马 入 侵 的 痕迹 。 

(5) 使 用 杀毒 软件 和 防火 墙 。 许 多 杀毒 软件 有 清除 木马 的 功能 ,可 以 不 定期 在 脱 机 的 
情况 下 进行 检查 和 清除 。 另 外 ,有 的 杀毒 软件 还 提供 网 络 实时 监控 功能 ,这 一 功能 可 以 在 攻 
击 者 远程 执行 用 户主 机 上 的 文件 时 提供 报警 或 让 执行 失败 ,使 攻击 者 向 用 户主 机 上 载 可 执 
行文 件 后 无 法 正确 执行 ,从 而 避免 进一步 的 损失 。 防 火 墙 则 可 以 运行 TP 规则 编辑 器 关闭 某 
些 端口 的 通信 ,只 要 利用 防火 墙 关闭 木马 常用 的 一 些 端口 就 可 以 阻止 一 些 木马 的 入 侵 ( 当 
然 , 木 马 也 可 以 随时 改变 其 利用 的 端口 )。 


实验 报告 要 求 


。 实验 目 的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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